Ubuntu 22.10（kinetic）のfeature freeze, Ampere AltraベースのAzure vm, Ubuntu 20.04.5の準備

Ubuntu 22.10（kinetic）のfeature freeze

Ubuntu 22.10（kinetic）の開発が、「⁠QAへ向けたマイルストーン」であるFeature Freeze [1]に到達しました。

開発プロセスにおいては「ここからは要レビュー」ということで明示的に宣言が行われるのですが、今回は「Ideally, you will all now be focusing on bug fixing and not on getting new features into the release.」（⁠理想的には、みなさんはここからバグフィックスに注力し、リリース版に新機能を投入するべきではありません）という注意書きがついています。「⁠Ideally」（⁠理想的には）というのがポイントで、UbuntuにおけるFeature Freezeの位置づけをよく表しています[1]。

[1] Feature Freezeは、Ubuntuではおおむね「あまりにも斬新な新機能を投入するのはちょっと勘弁してくれ、でもレビューを通したら入れてもOK」という位置づけで、つまりは「新機能が増えにくくなる」というものです。雑誌記事などにおいて、「⁠Feature Freezeされたということは、もう新機能は増えないな、書くぞ！」などと死亡フラグを立てながら執筆に突入し、おもむろにリリース1〜2週間前（＝とっくに記事がフィックスした後）に新機能が投入されてえらいことになるのはUbuntu関連ではたいへんによくある出来事です。ディストリビューション開発のような複雑性の高いものごとは、Idealに進むことはあまりない（ただしUbuntuは『やや』やりすぎの傾向がある）からです……。

こうした動きの中で、「⁠デフォルトのSSHdの起動方法を変更するよ」というプランが提示されています。これは「OpenSSHのSSH daemon（SSHd）をデフォルトで起動＆常駐させる代わりに、systemdのソケット管理機能を経由してオンデマンドに起動する」というものです。実際の接続が来るまでの待ち受けはsystemd側で行い、接続要求が来たらSSHdを起動してそちらへセッションを流す形で実装されます。

これにより、「⁠1Ubuntu」あたり「少なくとも」3MBほどのメモリを節約することができるようになります。やや少ないようにも思われますが、LXDやDockerなど、コンテナ環境では一つの環境に大量のUbuntuが稼働することになるため（100コンテナぐらいは比較的簡単に到達します⁠）⁠、1環境につき数百MBのオーダーでメモリを節約できる「ことがある」という計算になります。

もちろん、SSHセッションを確立するためにはSSHdが起動される必要があるため、「⁠すべてのコンテナにSSH接続する」というようなシナリオではこの「節約」は意味があまり強くありません。しかし、「⁠すべてのコンテナに同時にSSH接続する」というのはそもそもが破綻した仮定なので（これが真になる場合、やるべきは「それをデザインしたアーキテクトを速やかに退場させた後、その人物が関わってしまった設計をやりなおす」です⁠）⁠、一定の価値があると言えるでしょう。

基本的にユーザー側に発生する変化はないものの、一部の設定、たとえば「どのアドレスやポートでSSHdを待ち受けるか」という設定は（セッションを最初に受け付けるのがsystemdなので）OpenSSHの設定ファイルではなく、systemd側（/etc/systemd/system/ssh.socket.d/addresses.conf）で行うべきであることを意識しておくことが現時点で明示されています。アップグレード時にも意識すべきことが生じることになりますが、QAフェーズでのバグの叩き出しの後、リリースノートであらためて整理されるはずです。特にポートの変更はSSH bruteforceの影響を回避するためによく使われるため、該当する場合は覚えておくと良さそうです[2]。

より詳細な情報や、関連する議論についてはDiscourse上の投稿を参照してください。なお、従前の（＝直接SSHdが待ち受ける）動作に戻すことも可能です。

Ampere AltraベースのAzure vm

ベースのUbuntuの世界がまた少し広がります。9月1日に、Azure上で利用できるArm64ベースVMがGAしました。利用されているチップは2022年7月15日号で紹介したGCPのArm64インスタンスと同じくAmpere Altraで、Preview状態からシームレスにGAという形になりました。MicrosoftのリリースではUbuntu以外にRed Hat Enterprise Linux, SUSE Enterprise Linux, CentOS, Debianが挙げられていますが、Ubuntuが先頭に来ていることがポイントです。

その他のニュース

20.04の（例外がなければ）最後のポイントリリースとなる20.04.5の準備が開始されています。20.04.5は、22.04 LTSのカーネルとグラフィックドライバ等を導入したバージョンになるはずです。nvidia-390ドライバの差し替えが発生しているため、調整とQAを行った上でのリリースとなりそうです。
Canonicalが継続してSnap版Steam用のユーティリティ（CPUのクロック制御を自動的にパフォーマンスモードに切り替えるもの）を継続して開発している、と報じるPhoronixの記事。Ubuntu側のエントリはこのあたりです。Canonicalが継続して「ゲーム用」の立ち位置を狙おうとしていることが、観測できていると言えるでしょう。

今週のセキュリティアップデート

usn-5569-1：Unboundのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006732.html
Ubuntu 22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-30698, CVE-2022-30699を修正します。
delegataion cacheの保持において、適切なexpireが実装されていませんでした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5526-2：PyJWTの再アップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006733.html
Ubuntu 22.04 LTS用のアップデータがリリースされています。
usn-5526-1の対応において、内部バージョンが誤って2.4.0になっていました。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5570-1：zlibのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006734.html
Ubuntu 18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2022-37434を修正します。
悪意ある加工を施したファイルを処理させることで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5571-1：PostgreSQLのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006735.html
Ubuntu 22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-2625を修正します。
悪意ある操作を行うことで、エクステンションのロード時に任意のコードの実行が可能でした。
対処方法：アップデータを適用の上、PostgreSQLを再起動してください。

usn-5572-1：Linux kernel (AWS)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006736.html
Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2022-26365, CVE-2022-33740, CVE-2022-33741を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5573-1：rsyncのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006737.html
Ubuntu 20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2022-37434を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5574-1：Eximのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006738.html
Ubuntu 20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2022-37452を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行が可能です。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5575-1, usn-5575-2：Libxsltのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006739.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006740.html
Ubuntu 22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2019-5815, CVE-2021-30560を修正します。
悪意ある入力を行うことで、任意のコードの実行・本来秘匿されるべき情報へのアクセスが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5577-1：Linux kernel (OEM)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006741.html
Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2021-33061, CVE-2021-33655を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5576-1：Twistedのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006742.html
Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2022-24801を修正します。
悪意ある入力を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5578-1, usn-5578-2：Open VM Toolsのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006743.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006746.html
Ubuntu 22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2022-31676を修正します。
悪意ある入力を行うことで、仮想マシン内での特権昇格が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5579-1：Linux kernelのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006744.html
Ubuntu 16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2022-26365, CVE-2022-33740, CVE-2022-33741を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5580-1：Linux kernel (AWS)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006745.html
Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2021-33655, CVE-2021-33656, CVE-2022-20368, CVE-2022-36946を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5581-1：Firefoxのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006747.html
Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-38472, CVE-2022-38473, CVE-2022-38475, CVE-2022-38477, CVE-2022-38478を修正します。
Firefox 104.0のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、Firefoxを再起動してください。

usn-5582-1：Linux kernel (Azure CVM)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006748.html
Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2022-0494, CVE-2022-1048, CVE-2022-1652, CVE-2022-1679, CVE-2022-1734, CVE-2022-1974, CVE-2022-1975, CVE-2022-2586, CVE-2022-2588, CVE-2022-28893, CVE-2022-34918を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5474-2：Varnish Cacheの再アップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006749.html
Ubuntu 20.04 LTS用のアップデータがリリースされています。
usn-5474-1の修正において、CVE-2020-11653への対応が十分ではありませんでした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5584-1：Schrootのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006750.html
Ubuntu 22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2022-2787を修正します。
悪意ある操作を行うことで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5586-1：SDLのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006751.html
Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2022-34568を修正します。
悪意ある操作を行うことで、不定な動作を誘発することが可能でした。少なくともDoSが可能です。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5583-1：systemdのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-August/006753.html
Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2022-2526を修正します。
悪意ある操作を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。潜在的な任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。