Meltdown/Spectre/Foreshadowの後の世界・“Spectre-BHB”への対応

「いつもの」と言える、『⁠Spectreの亜種』がまた新たに登場しました。“⁠BHI⁠”もしくは“⁠Spectre-BHB⁠”と通称されるこの脆弱性（ CVE-2022-0001、CVE-2022-0002, CVE-2022-23960⁠）⁠ は、これまでに登場した各種脆弱性と近似する「間接的にシステム上で行われている計算の内容を推定できる」攻撃手法です。ただし、「⁠いつもの」ものよりは多少影響が限定的で、次の特性があります。

• そもそもeIBRSベースのSpectre v2の回避策への迂回アプローチであって、eIBRSが未実装のCascade Lakeより古い環境に対しては影響がない。
• たいていの環境においては、現時点ではそこまで警戒する必要はない（⁠「⁠現状では」eBPFベースの攻撃しか成功しておらず、eBPFはデフォルト設定ではroot権限か、unprivilegedでの動作を許可する設定を必要とする＝つまり「そもそも攻撃にroot権限が必要」となるため、仮想化ホストなどでなければ問題にはなりにくい⁠）⁠。
• 対処が必要な場合も、『⁠いつも通り』カーネルを更新すればよい。カーネル更新に伴う再起動を回避したい場合、eBPFを無効にしておけば影響を受けなくなる（そして、無効化については再起動は不要。注1⁠）⁠。

「例によって」と言える内容ではありますが、回避策については若干異なる要素があるため、Ubuntuでのガイドを参照して対処を検討するのが無難でしょう。なお、今回についてはIntel製プロセッサだけでなくArm製プロセッサにも影響があります[2]⁠。

jammyの開発

UI Freezeの時期に入ったjammyでは、Testing Weekに入り、3月末のベータリリース、そして4月21日のリリースに向けて、品質を引き上げる方向のタスクが（まだ続いている開発と並行して）行われています。劇的な変化はないものの、フランクフルトで行われたCanonical Engineering Sprintなどからいくつかのディスカッションが起動されています。

オープンソースカンファレンス2022 Online/Spring

Ubuntu Japanese Teamは、3月11日(金), 12日(土)に開催されるオンラインイベント、Open Source Conference 2022 Online/Springで「Ubuntu 22.04 LTSのすべて」というセミナーを行います。参加いただく場合はCompassから参加登録の上、connpassの「参加者への情報」から各会場URLを取得してください。

その他のニュース

• Jammyの壁紙コンテストがそろそろ投票〆切です。
• データサイエンティストと開発者向けのWSLの紹介。
• GCP上でUbuntu Proを利用してFIPSワークロードに対応させる方法。
• ElectronアプリケーションをSnapにする3つの方法。Electron Builder、Electron Packagerと、手作業でのパッケージング、という方法が紹介されています。

今週のセキュリティアップデート

usn-5310-1, usn-5310-2：GNU C Libraryのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006427.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006434.html
• Ubuntu 21.10・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2016-10228, CVE-2019-25013, CVE-2020-27618, CVE-2020-29562, CVE-2020-6096, CVE-2021-27645, CVE-2021-3326, CVE-2021-35942, CVE-2021-3998, CVE-2021-3999, CVE-2022-23218, CVE-2022-23219を修正します。
• 悪意ある入力を行うことで、DoS・不定動作の誘発・本来秘匿されるべき情報へのアクセスが可能でした。
• 対処方法：アップデータを適用の上、システムを再起動してください。

usn-5312-1：HAProxyのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006428.html
• Ubuntu 21.10・20.04 LTS用のアップデータがリリースされています。CVE-2022-0711を修正します。
• 悪意ある入力を行うことで、DoS・不定動作の誘発・本来秘匿されるべき情報へのアクセスが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5300-2, usn-5300-3：PHPのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006429.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006432.html
• Ubuntu 21.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2017-8923, CVE-2017-9118, CVE-2017-9119, CVE-2017-9120, CVE-2021-21707を修正します。
• usn-5300-1の21.10・20.04 LTS・18.04 LTS向けのパッケージです。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5311-1：containerdのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006430.html
• Ubuntu 21.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-23648を修正します。
• 悪意ある操作を行うことで、特定のファイルの読み込み専用コピーを生成することが可能でした。本来秘匿されるべき情報へのアクセスに応用可能です。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5314-1：Firefoxのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006431.html
• Ubuntu 21.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-26485, CVE-2022-26486を修正します。
• Firefox 97.0.2のUbuntuパッケージ版です。
• 対処方法：アップデータを適用の上、Firefoxを再起動してください。

usn-5313-1：OpenJDKのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006433.html
• Ubuntu 21.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-21248, CVE-2022-21277, CVE-2022-21282, CVE-2022-21283, CVE-2022-21291, CVE-2022-21293, CVE-2022-21294, CVE-2022-21296, CVE-2022-21299, CVE-2022-21305, CVE-2022-21340, CVE-2022-21341, CVE-2022-21360, CVE-2022-21365, CVE-2022-21366を修正します。
• CPUJan2022相当のアップデータです。
• 対処方法：アップデータを適用の上、Javaアプリケーションを再起動してください。

usn-5316-1：Redisのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006435.html
• Ubuntu 21.10・20.04 LTS用のアップデータがリリースされています。CVE-2022-0543を修正します。
• Luaサンドボックスからの脱出が可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。