Ubuntu Weekly Topics

2018年2月16日号 “Ubuntu Seeded Snaps”構想,Spectre/Meltdown対策さらにさらにその後

この記事を読むのに必要な時間:およそ 3 分

“Ubuntu Seeded Snaps”構想

Ubuntuのパッケージにおいて,非常に大きな変化がやってくるかもしれません。今後,Snapをデフォルトで利用できるようにするとともに,Snapを第一選択にしていく方向性の提案が行われ,議論やブラッシュアップが始まりました。

Ubuntuにおける⁠Snap⁠パッケージに向けた方向性は⁠Snappy” Ubuntu Coreのリリース時点から示されていたものです。今回の提案は,当時の「こうした未来を目指そう」という段階から「どうすればSnapをもっと活用できるか」という段階に進化させたものとなります。

これは「Snapを前面に押し出し,より使いやすくする」段階の活動であって,Debianからのsync(“universe⁠パッケージの提供)を中断したり,あるいはコアコンポーネントをSnapベースで提供したり,既存の.debパッケージをSnapに,というものではないことに注意してください。ただし,Snapベースのパッケージが中心となることで,Ubuntuのポリシーやサポート期間等に変化が生じる可能性もありえます。

なお,18.10世代において6ヶ月おきのリリースのかわりに,コア部分を毎月リリースするテストをしてみるのはどうかといったアイデアが示される等(こちらのプランの現実性はこれから考慮する段階です)⁠さまざまなブレーンストーミングが行われており,Bionic(18.04 LTS)がリリースされた後,これまでのUbuntuの常識が大幅に変化する可能性があります。

Spectre/Meltdown対策,さらにさらにその後

Ubuntuの⁠Spectre⁠対策に新しい動きです。Retpolineによる保護に加えてIBPBによる保護をサポートするパッチセットへの切り替えが計画されています。端的には「まだ決定版ではないかもしれないものの,少し新しいカーネル」が出てきました注1)⁠

IBPB部分の利用には新しいCPUマイクロコードが必要です。また,今回も一定のテストの後にリリースされる予定のため,ただちに利用可能になるわけではありません。

「まだ決定版ではないかもしれない」点として,このパッチには現段階では,当初Spectre対策として期待されていたIBRSが含まれていないことがあげられます(主な理由:性能面のペナルティと,リリース直後のマイクロコードバグに起因する混乱)⁠LKMLではIBRSをピンポイントで適用する実装について議論と実装が継続しており,Retpolineではファームウェアコンテキストなどの特定の状況で保護できない点や,ユーザーランドバイナリも含めた広範な対応が必要になること等を踏まえた対策として利用される可能性があります。LKMLでの議論の方向性がどちらに向くのか,そしてUbuntuがこれらの動きに追従するか,といった点で見えない要素はあるものの,⁠さらに新しいカーネル」が登場する可能性もあります。

注1
これは「現時点ではアップデータの適用を見送ってよい」ということは意味せず,Spectreの影響を受けうる(=信頼できないコードが実行されうる)環境においては,随時アップデータを適用していく必要があります。なお,決定的な対策が不明瞭なのは⁠Spectre⁠側だけで,⁠Meltdown⁠については明確な対策(KPTI)が確定しているため,Intel製プロセッサを利用している場合(かつ,⁠Meltdown⁠の影響を受けうる環境の場合)は対策を行いましょう。

その他のニュース

今週のセキュリティアップデート

usn-3559-1:Djangoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-February/004267.html
  • Ubuntu 17.10用のアップデータがリリースされています。CVE-2017-12794, CVE-2018-6188を修正します。
  • 悪意ある加工を施した入力を行うことで,本来秘匿するべき情報にアクセスすることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3560-1:QEMUのアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-February/004268.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。ゲスト上でCVE-2017-5715への緩和策を機能させるためのMSRアクセスをゲストに提供します。
  • 対応するCPUアーキテクチャ(AMD64, i386, S390)において,⁠Spectre⁠脆弱性を抑制する実装が機能する前提条件となる特定のMSRアクセスをゲストに開放します。
  • 対処方法:アップデータを適用の上,QEMU仮想マシンを再起動してください。
usn-3561-1:libvirtのアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-February/004269.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。ゲスト上でCVE-2017-5715への緩和策を機能させるためのMSRアクセスをゲストに提供します。
  • 対応するCPUアーキテクチャ(AMD64, i386)において,⁠Spectre⁠脆弱性を抑制する実装が機能する前提条件となる特定のMSRアクセスをゲストに開放します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-3562-1:MiniUPnPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-February/004270.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-1000494を修正します。
  • 悪意ある入力を行うことで,メモリ破壊を伴うクラッシュを発生させることが可能でした。任意のコードの実行につなげることができると考えられます。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3563-1:Mailmanのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-February/004271.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-5950を修正します。
  • MailmanのWebUIにおいてXSSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3564-1:PostgreSQLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-February/004272.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-1053を修正します。
  • 一時ファイルの扱いに問題があり,本来秘匿すべき情報にアクセスすることが可能でした。
  • 備考:Upstreamのリリースをそのまま利用したアップデータです。互換性のない修正を含んでいる可能性があります。
  • 対処方法:アップデータを適用の上,PostgreSQLを再起動してください。
usn-3565-1:Eximのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-February/004273.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-6789を修正します。
  • 悪意ある入力を行うことで,メモリ破壊を伴うクラッシュを発生させることが可能でした。任意のコードの実行につなげることができると考えられます。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3566-1:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-February/004274.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-12933, CVE-2017-16642, CVE-2018-5712を修正します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3567-1:Puppetのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-February/004275.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-10689を修正します。
  • Tarballの展開時に不適切なパーミッション管理を行っていました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3568-1:WavPackのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-February/004276.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2016-10169, CVE-2018-6767を修正します。
  • 悪意ある入力を行うことで,クラッシュを発生させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3544-2:Firefox regressions
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-February/004277.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。
  • Firefox 58.0.2のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上,Firefoxを再起動してください。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。