Ubuntu Weekly Topics

2019年11月29日号 FocalにおけるPython 2削除の進捗・Ubuntu Coreの拡大

この記事を読むのに必要な時間:およそ 2.5 分

FocalにおけるPython 2削除の進捗

Focalでは,ついに本格的にPython 2が除去されることになります。背景を簡単に説明すると,次のようなものです。

  • Python 2は,2019年末をもってサポートが終了します。すべてのPython製ソフトウェアやライブラリは,Python 3ベースに移行しなくてはいけません(しかし,現実的にはPython 2でしか動かないものも残ってしまっています⁠⁠。これは相当に気合いの入ったものであり,2020年に入ると,各種ライブラリが急激にPython 2のサポートを停止していきます。
  • DebianでもPython 2の除去のためのアプローチが開始されています。
  • Ubuntuのかなりの部分のソフトウェアはは,Debian sidに由来します。
  • 一方,Ubuntu独自のパッケージも存在しており,さらに,⁠すでにDebianでは除去されているが,しかしUbuntuでは必要なパッケージ」というものも存在します。これらを含めて,UbuntuとしてのPython 2からの脱却が進められる必要があります。

……これらを踏まえ,あらためてUbuntuとしての対応が整理されています。

  • 基本路線としては,Python 2依存のパッケージはできるだけ消滅させる。Python 3への移行が原則となる。
  • Python 2に依存するパッケージの一部については,削除も検討する。
  • 救済策としての「python2」パッケージ群は残る。どうしても,本当にどうしてもPython 2(だけ)が必要なパッケージについてはそちらを明示的に依存関係として宣言するようにする。
  • 一部については,Python 2とPython 3の両方で動作するべきモジュールがあるかもしれない。それらについては継続メンテナンスしても構わない。

また,これを踏まえたトラッカーが存在します。トータルでは,⁠もうPython 2はできれば消したい,しかし現実的にはそうもいかないことは理解している」という路線で進むことになるでしょう注1⁠。

注1
20.04はLTSであり,最近のLTSはESMを含めると10年のサポートなので,今回うまく除去しきれないと,本当に最悪の場合は開発者があと10年間Python 2に悩まされ続けることになります。

その他のニュース

今週のセキュリティアップデート

usn-4195-1:MySQLのセキュリティアップデート
usn-4196-1:python-ecdsaのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-November/005214.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-14853, CVE-2019-14859を修正します。
  • 特定の署名を処理させることでクラッシュを誘発することが可能です。また,DERエンコードされた特定の署名について,頑強性の侵害が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4195-2:MariaDBのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-November/005215.html
  • Ubuntu 19.10・19.04・18.04 LTS用のアップデータがリリースされています。CVE-2019-2938, CVE-2019-2974を修正します。
  • MariaDB 10.1.43 / 10.3.20への更新を提供します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4197-1:Bindのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-November/005216.html
  • Ubuntu 19.10・19.04・18.04 LTS用のアップデータがリリースされています。CVE-2019-6477を修正します。
  • 特定のTCPクエリにより,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4198-1:DjVuLibreのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-November/005217.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-15142, CVE-2019-15143, CVE-2019-15144, CVE-2019-15145, CVE-2019-18804を修正します。
  • 悪意ある加工を施したファイルを処理させることで,メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行に応用が可能です。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4189-2:DPDKの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-November/005218.html
  • Ubuntu 19.10・19.04・18.04 LTS用のアップデータがリリースされています。
  • usn-4189-1において,特定の環境において問題が生じていました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4199-1:libvpxのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-November/005219.html
  • Ubuntu 19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2017-13194, CVE-2019-2126, CVE-2019-9232, CVE-2019-9325, CVE-2019-9371, CVE-2019-9433を修正します。
  • 悪意ある加工を施したファイルを処理させることで,メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行に応用が可能です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4200-1:Redmineのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-November/005220.html
  • Ubuntu 19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-17427, CVE-2019-18890を修正します。
  • 悪意ある加工を施したファイルを処理させることで,XSSが可能でした。また,悪意あるオブジェクトクエリを行うことで,SQLインジェクションが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。