“linux-fips”カーネルフレーバーの痕跡

Ubuntuに（また）新しいカーネルフレーバー（もしくはカーネルパッケージ）が加わるかもしれません。ubuntu-installerやkernel-teamといったメーリングリストに，「linux-fips」と呼ばれる新しいパッケージがアップロードされた通知が流れています。

現状では明確なアナウンスはなく，また，Ubuntuの通常のカーネルで利用される各種リポジトリから痕跡を辿ることもできず，用途は不明な状態です。そして，linux-fipsパッケージの提供ページが空白状態であることから，特定顧客専用，といった特殊なブランチが事故で表に出てきてしまった，という可能性も否定はできません。genericカーネルに何らかの変更が加えられたもの（注1）なのか，あるいはパッケージングだけが異なるものなのか（注2）といった点も含め，ほぼ不明な状態です。

「FIPS」の文字列は，アメリカの連邦情報処理基準（Federal Information Processing Standard）を彷彿とさせますが，そう確定できる材料は今のところありません。また仮に「この」FIPSであったとしても，どのStandardに従ったものなのか，という点を確認する方法もありません。

なお，Ubuntu 16.04.2はFIPS-140-2 Compliantであり，関連する専用パッケージをUbuntu Advantageサブスクリプションを利用して入手することが可能なため，「⁠なんとなく」関連を見いだすことはできるかもしれません。

注1

2017年3月17日号で紹介している「クラウド向けカーネルフレーバー」が代表的な例です。これは「クラウド環境で必要になる（または，そのほうが都合がよい）設定を行い，また，決して使われないであろうドライバを除去したもの」で，「⁠クラウドで使う上で都合のよい」ものとなります。

注2

2018年12月21日号で紹介したlinux-oracleがこれに該当します。これは中身は本質的にはlinux-genericであり，OCI用の設定ファイルをパッケージに含めたスペシャルバージョンです。

Visual Studio CodeのSnapパッケージ（公式版）

Visual Studio CodeのSnapパッケージがリリースされ，Ubuntu環境では非常に手軽にSnapをインストール（＋Snapによる自動アップデート機能の恩恵を受けられる）ようになりました。「⁠Ubuntu上で」「⁠Microsoft製のIDEが」「⁠他のパッケージに影響を一切与えない形で」インストールできることを意味します。

……しかしながら，UbuntuユーザーのVisual Studio Code使いにとっては「2年前から使っているような？」という疑問が沸く内容のはずです。「⁠SnapパッケージとしてVisual Studio Codeをインストールできる」という状態そのものはコミュニティによって2017年5月の時点で達成されており，「⁠Snap版Visual Studio Code」そのものは珍しいものではありません。今回のものは「Microsoftから」Snap版が提供された，という点がポイントとなります。

使い勝手の面では過去のものと比べて劇的な変化があるわけではないのですが，以前のものと異なり，公式なリリースであるという点がポイントです。つまり，「⁠Ubuntu上で」「⁠Microsoft製のIDEが」「⁠他のパッケージに影響を一切与えない形で」『⁠Microsoft公式のものとして』インストールできる，という構図になりました。

その他のニュース

• Ubuntuの同人誌（⁠『⁠うぶんちゅ！ まがじん ざっぱ〜ん♪⁠』⁠）を制作しているteam zpnが，4月14日に開催される技術書典6に「う30」としてサークル参加します（注3⁠）⁠。また，宣伝担当によると，「⁠BOOTHとGumroadでのダウンロード版でも『うぶんちゅ！ まがじん ざっぱ〜ん♪ vol.9』と『ざっクリわかるUbuntu 18.04 LTS Server』のセット割引をやります（合計1,000円で200円お得⁠）⁠。そればかりではなく，#技術書典 6会場限定コピ本のPDF版もオマケでついてきます！」とのことです。
• GPD PocketとGPD Pocket 2向けのUbuntu MATE 18.04.2と19.04 Betaがダウンロード可能になっています。

注3

参加される方は，かんたん後払いの準備をしておくことをお勧めします。

今週のセキュリティアップデート

usn-3921-1：XMLToolingのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-March/004816.html
• Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2019-9628を修正します。
• 悪意あるXMLファイルを処理させることで，DoSが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-3922-1：PHPのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-March/004817.html
• Ubuntu 18.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-9637, CVE-2019-9638, CVE-2019-9639, CVE-2019-9640, CVE-2019-9641を修正します。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-3923-1：QEMUのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-March/004818.html
• Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-16867, CVE-2018-16872, CVE-2018-19489, CVE-2018-20123, CVE-2018-20124, CVE-2018-20125, CVE-2018-20126, CVE-2018-20191, CVE-2018-20216, CVE-2019-3812, CVE-2019-6778を修正します。
• MTP・v9fs・PVRDMA・Virtual I2C・Slirpに起因する問題がありました。
• 対処方法：アップデータを適用の上，QEMU仮想マシンを再起動してください。

usn-3924-1：mod_auth_mellonのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-March/004819.html
• Ubuntu 18.10・18.04 LTS用のアップデータがリリースされています。CVE-2019-3877, CVE-2019-3878を修正します。
• 悪意あるリクエストやログアウト要求を処理させることで，本来秘匿されるべき情報の漏出・悪意あるサイトへの誘導が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-3925-1：FreeImageのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-March/004820.html
• Ubuntu 16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2016-5684を修正します。
• 悪意ある加工を施したXMPファイルを処理させることで，任意のコードの実行に繋がる形のメモリ破壊を行うことができました。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-3918-3：Firefoxの再アップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-March/004821.html
• Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS
• Firefox 66.0.2のUbuntuパッケージ版です。
• usn-3918-2の更新において，一部のサイトで互換性問題が生じていました。
• 対処方法：アップデータを適用の上，Firefoxを再起動してください。

usn-3927-1：Thunderbirdのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-March/004822.html
• Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-18506, CVE-2019-9788, CVE-2019-9790, CVE-2019-9791, CVE-2019-9792, CVE-2019-9793, CVE-2019-9795, CVE-2019-9796, CVE-2019-9810, CVE-2019-9813を修正します。
• Thunderbird 60.6.1のUbuntuパッケージ版です。
• 対処方法：アップデータを適用の上，Thunderbirdを再起動してください。

usn-3926-1：GPACのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-March/004823.html
• Ubuntu 18.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2018-1000100, CVE-2018-13005, CVE-2018-13006, CVE-2018-20760, CVE-2018-20761, CVE-2018-20762, CVE-2018-20763, CVE-2018-7752を修正します。
• 悪意ある加工を施したMP4ファイルを処理させることで，任意のコードの実行に繋がる形のクラッシュを誘発することができました。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-3928-1：Dovecotのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004824.html
• Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2019-7524を修正します。
• 特定のヘッダを含むメッセージを処理させることで，特権の奪取が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-3929-1：Firebirdのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004825.html
• Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2014-9323, CVE-2017-6369を修正します。
• 悪意あるパケットを送出することでDoSが可能でした。また，UDFサブシステムにおける入力値検証の不足により，特権の奪取が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-3930-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004826.html
• Ubuntu 18.10用のアップデータがリリースされています。CVE-2018-19824, CVE-2019-3459, CVE-2019-3460, CVE-2019-6974, CVE-2019-7221, CVE-2019-7222, CVE-2019-7308, CVE-2019-8912, CVE-2019-8956, CVE-2019-8980, CVE-2019-9003, CVE-2019-9162, CVE-2019-9213を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため，通常はそのままアップデートの適用を行えば対応できます。

usn-3930-2：Linux kernel (HWE)のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004827.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-19824, CVE-2019-3459, CVE-2019-3460, CVE-2019-6974, CVE-2019-7221, CVE-2019-7222, CVE-2019-7308, CVE-2019-8912, CVE-2019-8956, CVE-2019-8980, CVE-2019-9003, CVE-2019-9162, CVE-2019-9213を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため，通常はそのままアップデートの適用を行えば対応できます。

usn-3931-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004828.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-14678, CVE-2018-18021, CVE-2018-19824, CVE-2019-3459, CVE-2019-3460, CVE-2019-6974, CVE-2019-7221, CVE-2019-7222, CVE-2019-7308, CVE-2019-8912, CVE-2019-8980, CVE-2019-9213を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため，通常はそのままアップデートの適用を行えば対応できます。

usn-3931-2：Linux kernel (HWE)のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004829.html
• Ubuntu 16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-14678, CVE-2018-18021, CVE-2018-19824, CVE-2019-3459, CVE-2019-3460, CVE-2019-6974, CVE-2019-7221, CVE-2019-7222, CVE-2019-7308, CVE-2019-8912, CVE-2019-8980, CVE-2019-9213を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため，通常はそのままアップデートの適用を行えば対応できます。

usn-3932-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004830.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-18249, CVE-2018-13097, CVE-2018-13099, CVE-2018-13100, CVE-2018-14610, CVE-2018-14611, CVE-2018-14612, CVE-2018-14613, CVE-2018-14614, CVE-2018-14616, CVE-2018-16884, CVE-2018-9517, CVE-2019-3459, CVE-2019-3460, CVE-2019-3701, CVE-2019-3819, CVE-2019-6974, CVE-2019-7221, CVE-2019-7222, CVE-2019-9213を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため，通常はそのままアップデートの適用を行えば対応できます。

usn-3932-2：Linux kernel (Xenial HWE)のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004831.html
• Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-18249, CVE-2018-13097, CVE-2018-13099, CVE-2018-13100, CVE-2018-14610, CVE-2018-14611, CVE-2018-14612, CVE-2018-14613, CVE-2018-14614, CVE-2018-14616, CVE-2018-16884, CVE-2018-9517, CVE-2019-3459, CVE-2019-3460, CVE-2019-3701, CVE-2019-3819, CVE-2019-6974, CVE-2019-7221, CVE-2019-7222, CVE-2019-9213を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため，通常はそのままアップデートの適用を行えば対応できます。

usn-3933-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004832.html
• Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-1000410, CVE-2017-18360, CVE-2018-19824, CVE-2019-3459, CVE-2019-3460, CVE-2019-6974, CVE-2019-7222, CVE-2019-9213を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため，通常はそのままアップデートの適用を行えば対応できます。

usn-3933-2：Linux kernel (Trusty HWE)のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004833.html
• Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2017-1000410, CVE-2017-18360, CVE-2018-19824, CVE-2019-3459, CVE-2019-3460, CVE-2019-6974, CVE-2019-7222, CVE-2019-9213を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため，通常はそのままアップデートの適用を行えば対応できます。

usn-3934-1：PolicyKitのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004834.html
• Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。
• fork()がアトミックに行われていないため，本来期待されるものとは異なるプロセスに特権を付与してしまう場合がありました。
• 対処方法：アップデータを適用の上，システムを再起動してください。

usn-3935-1：BusyBoxのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004835.html
• Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2011-5325, CVE-2014-9645, CVE-2015-9261, CVE-2016-2147, CVE-2016-2148, CVE-2017-15873, CVE-2017-16544, CVE-2018-1000517, CVE-2018-20679, CVE-2019-5747を修正します。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-3937-1：Apache HTTP Serverのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004836.html
• Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-17189, CVE-2018-17199, CVE-2019-0196, CVE-2019-0211, CVE-2019-0217, CVE-2019-0220を修正します。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-3936-1：AdvanceCOMPのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004837.html
• Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2019-9210を修正します。
• 悪意ある加工を施したPNGファイルを処理させることで，任意のコードの実行に繋がる形のメモリ破壊を誘発することが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。