Ubuntu 23.04（lunar）の開発 / Flatpakのデフォルト導入の終了とカーネルのRustサポート、EB corbos Linux - built on Ubuntu

23.04（lunar）の開発 / Flatpakのデフォルト導入の終了とカーネルのRustサポート

23.04のリリースに向けて、各種フレーバーを含めたパッケージング関連のポリシーの提示が行われています。内容としては、Ubuntuとそのフレーバーでは、「⁠デフォルトでは.debとSnapパッケージを利用する」というもので、これら以外のパッケージについては「任意にインストール可能にすることは構わない」という形となっています。

ここで具体的にターゲットになっているのはほぼFlatpakで[1]、「⁠任意にインストールできる」という立ち位置は維持されるものの、「⁠デフォルトにしない」という扱いになったことを意味します。

もっともこれは「デフォルトではインストールされなくなる」というだけで、「⁠Flatpakがソフトウェアアーカイブからインストールできなくなる」でも「Ubuntuでは動かなくなる」でもありません。あくまで「インストール直後にはFlatpakベースのソフトウェア管理はセットアップされていない」という状態になるだけです。よって、Flatpakそのものの利用は継続して可能ですし、各種ソフトウェアをFlatpakで管理する環境を作ることも継続して行えます。

また、こうした動きとはまた別に、lunarのカーネルではRustサポートが有効になる見込みです。これにより、各種カーネルモジュールをRustベースで書くことが可能になります。直接ユーザーがメリットを受けることはないものの、足回りの強化という意味で役に立つはずです。

EB corbos Linux - built on Ubuntu

車載や自動車関係のソフトウェアを提供するElektrobit社と、CanonicalがEB corbos Linux – built on Ubuntuの提供をアナウンスしています。

この「EB corbos Linux – built on Ubuntu」はHPCに向けたコンテナベースの環境で、いわゆる車載器ではなく、自動車を作る上でのシミュレーションやバックエンド側に利用されるものという位置づけです。つまり「車にUbuntuが載る」というよりは、「⁠車を作ったり、インテリジェントカーの開発やバックエンドとしてUbuntuが使われる」という形です。SDKも同時にリリースされており、この環境で動作する各種ソフトウェアの開発も可能です。

流れとしては昨年秋の提携アナウンスに続き、実際のプロダクトが出てきたというフェーズです。

Ubuntu 22.04.2のリリースの準備

2週間延期されていたUbuntu 22.04.2のリリースの準備のために一時的に22.04へのアップデートパッケージの投入が抑止され、生成されたイメージによるテストが進められています。

その他のニュース

RISC-Vデスクトップ環境と、ThinkPad X13s（Arm64ベース）の開発の進捗について、いくつか興味深い記載が行われています。RISC-Vの方は「なんらかのデスクトップ環境の提供を狙っているパートナーがいる」ということ、そして、ThinkPad X13sの方は「プリインストールイメージができている」ということが示唆されます。どのタイミングでこれが出てくるのか、といったことはあまり明確ではないものの、「⁠そろそろ」動くものに触るチャンスが出てくるかもしれません。

今週のセキュリティアップデート

usn-5868-1：Djangoのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007106.html
Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2023-24580を修正します。
悪意ある加工を施したファイルをアップロードすることで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5869-1：HAProxyのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007108.html
Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2023-25725を修正します。
空のヘッダの処理に問題があったため、悪意ある入力を行うことで認証の迂回・ヘッダの操作が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5871-1：Gitのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007109.html
Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2023-22490, CVE-2023-23946を修正します。
悪意あるリポジトリに接続させることで、ローカルファイルシステムの任意のファイルの漏洩を誘発することができました。また、ワーキングツリーの外にあるファイルを上書きすることが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5870-1：apr-utilのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007110.html
Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2022-25147を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：アップデータを適用の上、APR-utilを利用するアプリケーションを再起動してください。

usn-5872-1：NSSのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007111.html
Ubuntu 16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2022-22747, CVE-2022-34480を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：アップデータを適用の上、NSSを利用するアプリケーションを再起動してください。

usn-5874-1：Linux kernelのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007112.html
Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-3628, CVE-2022-3640, CVE-2022-3649, CVE-2022-41849, CVE-2022-41850, CVE-2022-42895, CVE-2023-20928を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5875-1 Linux kernel (GKE)：のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007113.html
Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2022-3628, CVE-2022-3640, CVE-2022-3643, CVE-2022-3649, CVE-2022-41849, CVE-2022-41850, CVE-2022-42895, CVE-2022-42896, CVE-2022-43945, CVE-2022-45934, CVE-2023-20928を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5876-1：Linux kernelのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007114.html
Ubuntu 22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2022-3543, CVE-2022-3619, CVE-2022-3623, CVE-2022-3628, CVE-2022-3640, CVE-2022-41849, CVE-2022-41850, CVE-2022-42895, CVE-2022-47940, CVE-2023-0590を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5877-1 Linux kernel (GKE)：のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007115.html
Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2022-0171, CVE-2022-20421, CVE-2022-2663, CVE-2022-3061, CVE-2022-3303, CVE-2022-3543, CVE-2022-3586, CVE-2022-3619, CVE-2022-3623, CVE-2022-3628, CVE-2022-3640, CVE-2022-3643, CVE-2022-3646, CVE-2022-3649, CVE-2022-39188, CVE-2022-39842, CVE-2022-40307, CVE-2022-4095, CVE-2022-41849, CVE-2022-41850, CVE-2022-42895, CVE-2022-42896, CVE-2022-43750, CVE-2022-4378, CVE-2022-45934, CVE-2022-4662, CVE-2022-47940, CVE-2023-0590を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5873-1：Go Textのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007116.html
Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-14040, CVE-2020-28851, CVE-2020-28852, CVE-2021-38561, CVE-2022-32149を修正します。
悪意ある入力を行うことで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5778-2：X.Org X Serverのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007117.html
Ubuntu 16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2022-4283, CVE-2022-46340, CVE-2022-46341, CVE-2022-46342, CVE-2022-46343, CVE-2022-46344, CVE-2023-0494を修正します。
usn-5778-1のESM用パッケージです。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-5878-1 Linux kernel (Azure)：のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007118.html
Ubuntu 22.10用のアップデータがリリースされています。CVE-2022-3619, CVE-2022-3628, CVE-2022-3640, CVE-2022-42895, CVE-2023-0590を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5879-1 Linux kernel (HWE)：のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007119.html
Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2022-3619, CVE-2022-3628, CVE-2022-3640, CVE-2022-3643, CVE-2022-42895, CVE-2022-42896, CVE-2022-4378, CVE-2022-45934, CVE-2023-0590を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5880-1：Firefoxのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007120.html
Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2023-0767, CVE-2023-25728, CVE-2023-25729, CVE-2023-25730, CVE-2023-25731, CVE-2023-25732, CVE-2023-25733, CVE-2023-25735, CVE-2023-25736, CVE-2023-25737, CVE-2023-25739, CVE-2023-25741, CVE-2023-25742, CVE-2023-25744, CVE-2023-25745を修正します。
Firefox 110.0のUbuntuパッケージです。
対処方法：アップデータを適用の上、Firefoxを再起動してください。