Ubuntu Weekly Topics

2018年1月19日号 Ubuntu 17.10.1のリリース,“Spectre”対策のためのテストカーネル

この記事を読むのに必要な時間:およそ 5 分

Ubuntu 17.10.1のリリース

特定のPCに動作不良を引き起こす問題に対処するため,Ubuntu 17.10.1がリリースされました。Ubuntuの歴史上,LTSではない通常版における初のポイントリリースです。日本語Remixも追従してリリースしています。

この問題は,Intel SPI Flashを搭載する,Haswell, Broadwellを搭載した一部のPC(主にノートPCと,ノートPCの基本設計を流用したデスクトップPC)において発症します。主な症状は,BIOS設定注1に遷移できない(もしくは,遷移はできるが設定が変更/保存できない)⁠あるいはUSBストレージや外付け光学ドライブ等,内蔵ストレージ以外のデバイスからのブートができない,起動時にエラーメッセージが表示される,といったもので,⁠システムが使用不能になる」レベルのものではありません。

また,この状態はあくまで「Read Onlyになっている」だけでほとんどの場合において修復可能であり,⁠Ubuntu 17.10を走らせるとPCが高価な文鎮になる」というわけではありません注2)⁠

問題のメカニズムとしてはIntel SPI Flashをサポートするためのドライバーに問題があり,意図せずRead Only状態に切り替えてしまう,というものです。もともとこのドライバーは実験的にLinux Kernelにマージされていたのですが,Ubuntuでは一定の理由からこのドライバーを最新枝からポーティングしてしまい,結果として不具合が発生するようになっていました。

注1
厳密には「伝統的なBIOS設定画面を模した,UEFIの設定画面」であってBIOS設定画面ではないのですが,伝統的な呼称に従い,⁠BIOS設定」という表現としています。
注2
あまり高くない可能性として,ごく一部の実装においてシステムを起動不能にする場合が考えられますが,この場合はUEFIまわりの扱いに不幸な事故があった可能性が高く,マザーボードベンダが悪いのかSPIドライバーによるRead Only属性の設定が悪いのかは微妙です。どちらかというと,まず他の箇所の故障が偶然起きたことを疑うほうが良いです。

一般的なユーザーが行うべき対処は,⁠手元にすでにダウンロードしたUbuntu 17.10のISOイメージや,それを書き込んだ光学メディアやUSBメモリがあるなら,17.10.1に更新する」注3ことになります。

注3
人間の記憶力には限りがあります。将来的に対象となるPCを入手し,ついうっかり17.10をインストールしてしまう可能性を100%否定できるのでなければ,手元にある17.10のブートメディアを更新するか,せめて付箋を貼り付けておきましょう。ただし,⁠ついうっかり」するシチュエーションでは付箋がロストしている可能性も考慮してください。

重要:Intel SPIドライバー関連の問題への対処は現在進行形で行われており,以下のサマリよりも新しい(多くの場合はより簡単な)手順が用意される可能性があります。

修正に必要な手順は,次のようなものです。繰り返しになりますが,以下の手順はあくまでサマリです。実際に作業を行う場合,より厳密な手順をLP#1734147で確認してください。当該バグ報告の英語が読めず,このサマリだけを頼りに作業を始めようとしているのであれば,今はまだ復旧に手をつける時期ではありません。より整理された情報が用意されるまで待ちましょう。全体の計画としてはまだ完了しておらず復旧に特化したイメージが作成される,復旧のためのより整理されたドキュメントが提供される,といったタスクがまだ予定されています(復旧に特化したイメージがリリースされるかどうかは若干微妙な部分があります)⁠

  • 修正用のカーネルパッケージをダウンロードし,これをインストールします。インストールが完了していることを確認してリブートします。
  • 念のため,GRUBから先ほどインストールしたカーネルを明示的に指定して起動します。
  • 修正用カーネルを用いて起動した後,その状態で再起動してください(二回目の起動)⁠この間,BIOS設定画面に遷移しないようにしてください。二回目の起動が終了したら,この状態でBIOS設定画面を確認してください。多くの場合は設定の変更ができるようになっているはずです(手順の7)⁠
  • もしこの操作でも設定変更が可能な状態に復帰していない場合,バグ報告にある手順8に示されている,別のカーネルパッケージを導入して,再度復旧のための手順を試してください。
  • いずれの場合も,回復が完了したら,利用したカーネルパッケージを削除します。⁠sudo dpkg -r linux-image-4.15.0-041500rc6-generic」を実行してください。

その他のニュース

  • “Spectre⁠対策の進捗について。対策の第一歩となる,Variant 1/2への,現時点での対抗策を実装したカーネルのテスト版(と,その前提となるマイクロコード)のセットがテスト用の-proposedポケットに投入されています。リリースは1月22日の予定です。今現在Spectreの脅威に現在進行形でさらされており,ただちに対処が必要な場合はテストに協力するのが良いでしょう。なお,この更新は一定の性能劣化を伴います。この後にRetpolineベースの,より影響を軽減した実装が準備される予定です。
  • IoT向けの小型基板,EdgeXのUbuntu/Canonicalの関わりについて。

今週のセキュリティアップデート

usn-3521-1:NVIDIA graphics driversのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004210.html
  • Ubuntu 17.10・17.04・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-5753の抑制を行います。
  • NVIDIAドライバを経由した⁠Spectre⁠攻撃の一部(CVE-2017-5753)を抑制する修正を行います。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-3522-1, usn-3522-3:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004211.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004223.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-5754を修正します。
  • ⁠Meltdown⁠攻撃(CVE-2017-5754)を成立させないようにするカーネル拡張を追加します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。
  • 備考:当初リリースされたバージョンにブート失敗問題が存在したため,usn-3522-3として新バージョンがリリースされています。
usn-3522-2, usn-3522-4:Linux (Xenial HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004212.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004224.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-5754を修正します。
  • ⁠Meltdown⁠攻撃(CVE-2017-5754)を成立させないようにするカーネル拡張を追加します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。
  • 備考:当初リリースされたバージョンにブート失敗問題が存在したため,usn-3522-4として新バージョンがリリースされています。
usn-3523-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004213.html
  • Ubuntu 17.10用のアップデータがリリースされています。CVE-2017-16995, CVE-2017-17862, CVE-2017-17863, CVE-2017-17864, CVE-2017-5754を修正します。
  • ⁠Meltdown⁠攻撃(CVE-2017-5754)を成立させないようにするカーネル拡張を含む,複数の修正を行います。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-3524-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004215.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-5754を修正します。
  • ⁠Meltdown⁠攻撃(CVE-2017-5754)を成立させないようにするカーネル拡張を追加します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-3524-2:Linux kernel (Trusty HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004216.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2017-5754を修正します。
  • ⁠Meltdown⁠攻撃(CVE-2017-5754)を成立させないようにするカーネル拡張を追加します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-3525-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004217.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。
  • ⁠Meltdown⁠攻撃(CVE-2017-5754)を成立させないようにするカーネル拡張を追加します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-3526-1:SSSDのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004218.html
  • Ubuntu 17.04・16.04 LTS用のアップデータがリリースされています。CVE-2017-12173を修正します。
  • SSSDを経由して行われるLDAPサーチにおいて,悪意ある文字列を送り込むことで不正なクエリを校正することができました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3523-2:Linux kernel (HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004219.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-16995, CVE-2017-17862, CVE-2017-17863, CVE-2017-17864, CVE-2017-5754を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-3523-3:Linux kernel (Raspberry Pi 2)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004220.html
  • Ubuntu 17.10用のアップデータがリリースされています。CVE-2017-16995, CVE-2017-17862, CVE-2017-17863, CVE-2017-17864を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-3527-1:Irssiのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004221.html
  • Ubuntu 17.10・17.04・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-5205, CVE-2018-5206, CVE-2018-5207, CVE-2018-5208を修正します。
  • 悪意ある入力を行うことで,Irssiをクラッシュさせることが可能でした。また,文字列補完のルーチンにヒープバッファオーバーフローを引き起こす問題があり,メモリ破壊を伴うクラッシュを誘発させることが可能でした。任意のコードの実行に繋がると考えられます。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3528-1:Rubyのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004222.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-10784, CVE-2017-14033, CVE-2017-14064, CVE-2017-17790を修正します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3530-1:WebKitGTK+のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004225.html
  • Ubuntu 17.10・17.04・16.04 LTS用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753への対策です。
  • JavaScriptエンジンの一部動作を変更し,⁠Spectre⁠攻撃の影響を緩和します。
  • 対処方法:アップデータを適用の上,WebKitGTK+を利用するアプリケーション(例:Epiphany)を再起動してください。
usn-3531-1:Intel Microcode update
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004226.html
  • Ubuntu 17.10・17.04・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-5715への対処の一部を提供します。
  • ⁠Spectre⁠攻撃の一部を抑制するためのカーネル改変を行う前提となるマイクロコードです。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-3532-1:GDK-PixBufのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004227.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-1000422, CVE-2017-6312, CVE-2017-6313, CVE-2017-6314を修正します。
  • 悪意ある加工を施された画像ファイルを処理することで,メモリ破壊を伴うクラッシュが生じることがありました。任意のコードの実行が可能と考えられます。
  • 対処方法:アップデータを適用の上,セッションを再起動(一度ログアウトして再度ログイン)してください。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入