Ubuntu Weekly Topics

2015年3月20日号15.04の開発・イギリス政府のセキュリティガイド・UWN#407・#408

15.04の開発

vivid(15.04)の開発はUI Freeze・Documentation String Freezeを過ぎ、間もなくFinal Betaに突入しようとしています。通常、この時期からは「完成度の向上」のための作業が行われるのが通例なのですが、今回の開発では、あまり代わり映えのしなかった14.10の反動で(+Ubuntu Phoneが無事にリリースされることでリソース配分に余裕ができたか何かで⁠⁠、駆け込みの修正に伴うFFe申請(Feature Freeze Exception。フリーズの解除申請)が数多く行われており、まだまだ「品質向上」と言える状況には達していません。

なお、現状の15.04のGUIについてはいくつかの動画youtubeに投稿されています。また、desktop-next(Unity 8)ベースのデスクトップにおいて、2年前の状況(Ubuntu Phoneの開発が開始された頃)と現在を比較する記事も存在します。このあたりを見ると、⁠少なくとも見た目の面では)大きく完成度が向上していることが分かるでしょう。

15.04関連の細かいところでは、ubuntu-driversコマンドがCPUのマイクロコードアップデートパッケージを自動インストールできる機能が追加されていたりする横で、⁠液晶バックライト制御のためのプログラムの開発でサンプルが不足しているので、みんなの力を貸してほしいといった呼びかけが行われています。

イギリス政府のセキュリティガイド

イギリス政府による、⁠セキュアなUbuntuの利用方法」公開されています。これは政府職員が特定の環境を利用する際の標準手順です。

これは、単なる機能要件だけを示したガイドラインではなく、⁠システムへUbuntuをインストールする」ところから始めるstep by step方式のガイドとなっており、⁠Ubuntuをどうインストールすればいいのか悩んでいる」人にとっても役立つものとなっています。

イギリス政府で利用されるということで、⁠BS7799などでお馴染みの、あらゆるものを手順に還元して管理する」という特色が色濃く表れ、さまざまな面から「Ubuntu環境のセキュリティ」を担保するためのガイドとなっています。

特に興味深いのは推奨構成のインストール手順で、⁠狙いどころ」を徹底的に排除しています。Ubuntuを使ってキオスク端末的な環境を構築する場合、あるいは実際に「セキュアな」構成が必要な場合などに、非常に役に立つガイドとなっています。

主な内容は次の通りです。

  • もちろんSecureBootを使う。
  • /tmpや/home、/run/shmといった、⁠通常実行ファイルが置かれる可能性がない領域」にはnoexecを付ける。
  • /homeは暗号化する。
  • ゲストユーザーのような危険なものは無効にする。
  • Apportのような自動的にエラー情報を収集する機能もすべて無効にする。
  • Unityの検索窓の外部検索は無効にする。
  • アップデートは自動的に適用する。
  • ログイン画面(lightdm)が必要とする書き込み領域(通常/var/lib/以下にあるもの)は、/homeに待避領域を作ってそちらに保存する。
  • 外部と通信する可能性のあるソフトウェアはすべてAppArmorで保護する。

ちなみにこのシリーズにはWindowsやAndroid、iOS・OS X・Chrome OSを対象にしたものも存在しておりどれも「007の国が真剣に考えてみたらこうなりました」的な全力のセキュリティガイドとなっています。⁠セキュアな環境を準備せよ」とか、⁠社内標準の環境を策定せよ」と言われた場合に非常に便利です。もちろん英語ですが、この手のドキュメントは読まれなければ存在意義を果たせないため、非常にわかりやすい書き方で構成されており、中学生の英語力でも十分に読み解けます。英語の勉強を兼ねて、⁠ちょっとしたイギリスの本気、パラノイア一歩手前風味」を味わってみてはいかがでしょうか。

UWN#407・408

Ubuntu Weekly Newsletter #407#408がリリースされています。

その他のニュース

  • Ubuntu 10.04 LTSのEOL日程が決定しました。10.04 LTSのアップデート提供は2015年4月30日までとなります。現在10.04 LTSを利用している場合はRecipeの第365回を参考に、アップグレードや新規環境の構築を検討してください。
  • NVIDIAの開発者向けモンスターマシンに、Ubuntu 14.04がプリインストールされています。このマシンは「TITAN X(NVIDIAの最新のハイエンドGPU)を4枚搭載」注1という極めて強烈なスペックのマシンで、主としてディープラーニングに用いられることが想定されています。なお、アメリカ在住のディープラーニング研究者であれば、$15,000で入手することができます。これを含め、GPGPU用途でのNVIDIA製品ではUbuntuが利用されているケースが非常に多くJETSON TK1などもプリインストールOSはUbuntuです⁠⁠、デファクトスタンダードとしての地位を確立しつつあります。

今週のセキュリティアップデート

usn-2515-2:Linux kernel (Trusty HWE)の再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002852.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。
  • usn-2515-1で発生したエンバグを修正します#1427297⁠。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
usn-2516-3:Linux kernelの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002853.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。
  • usn-2516-2で発生したエンバグを修正します#1427297⁠。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
usn-2522-1/usn-2522-2/usn-2522-3:ICUのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002854.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002855.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002859.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS用のアップデータがリリースされています。
  • ICUに悪意ある加工施したファイルを処理させることで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行に繋がる危険性があります。
  • 対処方法:通常の場合、このパッチよりも後にリリースされる新しいアップデータを適用することで問題を解決できます。
  • 備考:usn-2522-1としてリリースされたアップデータには、LibfreOffice Calcの異常動作を誘発する問題がありました。一時的にセキュリティパッチを無効にしたバージョンをリリースしています。
usn-2505-2:Firefoxの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002856.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS用のアップデータがリリースされています。
  • usn-2505-1で削除された「-remote」起動オプションを復活させるアップデートです。
  • 対処方法:アップデータを適用の上、Firefoxを再起動してください。
usn-2523-1:Apache HTTP Serverのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002857.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2013-5704, CVE-2014-3581, CVE-2014-3583, CVE-2014-8109, CVE-2015-0228を修正します。
  • mod_headers・mod_cache・mod_luaにおいて、特殊なリクエストによって本来の制限を迂回、あるいはクラッシュが誘発される問題がありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2521-1:Oxideのセキュリティアップデート
usn-2524-1:eCryptfsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002860.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-9687を修正します。
  • ecryptfsが自動生成する暗号化パスワードのソルトが予測可能なため、期待通りの保護が行われていませんでした。
  • 対処方法:アップデータを適用の上、全てのセッションからログアウト(単独ユーザーの場合は単にログアウトを、共用マシンの場合は確実を期すために再起動)してください。

おすすめ記事

記事・ニュース一覧