Ubuntu Weekly Topics

2019年6月21日号 eoanにおけるi386サポートの終了,ThinkPad PのUbuntu搭載モデル,SACK Panic

この記事を読むのに必要な時間:およそ 4 分

eoanにおけるi386サポートの終了

eoan(19.10)において,i386サポートが行われないことが決定しました。これによりUbuntuにおけるi386アーキテクチャは,Ubuntu 18.04 LTSの通常サポート期限である2023年(ないし,ESMによる+5年サポートを適用した2028年)に終了されることになりました。同時に,i386としては,実質的に18.04 LTSが最後のリリースとなります(18.10のi386版もリリースされてはいますが,来月にはサポートが終了するので利用が困難です⁠⁠。

ここでの「i386」CPUは伝統的に使われてきている(名前がもともと示していたものと現状が食い違っている)単語で,Intel 80386とその互換CPUではなく,実質はi686(P6/Pentium Pro)以降,さらに現実的には「32bitモードでのみ動作するAtom(Bonnell)やPentium M,Core Duo」と考えてください。

i386の廃止はこの数年Ubuntuにとっては定番の話題になりつつあり,比較的新しいもの,かつ本連載で取り上げてきたものに限っても注1次のような議論が積み上げられてきました。こうした流れの中ではほぼ「順当な」結論といえ,また,実用上の意味が薄くなってきたアーキテクチャを保持するのに使うリソースを他のことに振り向けられるという意味でも良いことです。

注1
いろいろな偶然の結果,CanonicalのIPOが話題になるタイミングと揃っているように見えてしまいますが,これは単にどちらも開発の特定のタイミング(というかリリース後)に出てきやすい話題である,というだけの話です。
  • 2016年2月5日号⁠ISOイメージとしてi386はもう提供しなくても良いのでは?」という議論。
  • 2016年7月1日号⁠amd64が利用できず,i386だけが動作する環境はどれぐらいあるのか?」という議論。
  • 2017年5月19日号⁠DesktopやServerではもうi386は要らないのでは?」という議論。
  • 2018年5月18日号⁠そろそろi386サポートを本気で打ち切ろう」という議論。
  • 2019年2月22日号⁠20.04 LTSまでにはi386を終了しておきたい」という議論。

しかしながら「i386サポートが終了する」ことにはもうひとつ,⁠i386環境でしか動作しないアプリケーションを動作させるためのライブラリが存在しなくなる」という側面もあります。amd64環境でi386を動作させるには「multiarch」とよばれるアプローチが利用されます。これは「amd64環境にi386版に由来するバイナリを同居させる」というものです。

i386版Ubuntuが存在しなくなることは「i386版に由来するバイナリ」の調達元がなくなることを意味するため,これによって「i386でしか動かない」⁠多くはプロプライエタリな)ソフトウェアを動作させることができなくなってしまいます注2⁠。ひとまずは18.04 LTS由来のパッケージをライブラリ提供用に使っていけば良いのですが,18.04 LTSがEOLを迎える2023年には「このi386のバイナリを動かすにはどうすればいいのか」という問題が発生することになります。

この問題に対してはいくつかの解が存在するのですが注3⁠,このための議論や準備を19.10の開発サイクルで行うということで,i386廃止に関連するFAQ大会を併設したディスカッションが開始されています。ごく簡単かつラフにFAQをピックアップしておきます。ちなみに最大のポイントは,⁠i386はもう,Ubuntuのインストールベースの1%ほどしかない」⁠i386 makes up around 1% of the Ubuntu install base.)という衝撃の事実です。

注2
今に至るまでi386のまま残されてきているものである以上,そう簡単にはamd64版がリリースされない可能性があります。
注3
現状で想定されるのは「18.04 LTS由来のi386バイナリを利用する」⁠できればSnapパッケージにする)というものです。
Q. XubuntuやLubuntuはどうなるの?
A. 同じソースやビルドファームを利用しているため,Ubuntuと同じようにi386サポートが終了することになる。
Q. i386でインストールしたこのUbuntu 18.04 LTSはどうなるの?
A. 2023年まではセキュリティ更新を利用できる。また,ESMを利用すれば2028年まではセキュリティ更新が提供される。
Q. 32bitモードでしか動作しないアプリケーションが存在する環境ではどうするべき?
A. 2020年の「次」のLTSか,2022の「次の次」のLTSの頃までにはamd64環境で動作するようにマイグレーションが行われるのが望ましい。もしくは,18.04 LTSベースのLXD環境を準備し,そこで32bitアプリケーションを動作させるのがよい。
Q. Ubuntuの派生ディストリビューションである,MintやPop_OS,Zorinはどうなる?
A. Ubuntuをベースにする前提であれば,同じようにi386サポートを終了することになる。i386をより長くサポートするディストリビューションに移行して継続する選択肢も存在はする。
Q. Linux版Steamは32bitライブラリを利用しているのだけど,これはどうなるの?
Ubuntu Team/CanonicalはValveとこの件について話し合っている。LXDによる延命はまず可能なので,GPUをLXDにパススルーしてゲームすることができるだろう。

ThinkPad PのUbuntu搭載モデル

Lenovoの提供するThinkPad Pシリーズの最新シリーズに,Ubuntu搭載モデルが存在することをいくつかサイトが報じています。Lenovo側のオプションを見ると確かにUbuntuの文字が存在しており,プリインストールOSとしてUbuntuが選択できる状態を確認できます。

なお『Ubuntu搭載モデル』という観点では,先行しているDellの⁠Sputnik⁠シリーズ以外に,HPにも様々なモデルが存在しており積極的なハードウェア対応が提供されています。このように決して新しいものではないのですが,⁠メジャーメーカー各社からUbuntu搭載モデルが発売されている」という点では昔から比べると非常に大きな進化と言えるでしょう注4⁠。

注4
かつてのこの種の対応はDKMSとPPAを用いた「専用ドライバ」の追加という形で行われてきていましたが,Ubuntu搭載モデルが一定のシェアを得つつあることもあり,18.10,19.04ではgenericカーネルそのものに「OEM用」のパッチが投入される形に切り替わりつつあります。ただし18.04 LTS(の,出荷時の4.15シリーズ)まではOEM向け専用のカーネルツリーが利用されていたため,⁠たとえ日本でUbuntuモデルが存在しなくても,Dell,Lenovo,HP製品のUbuntuプリインストールモデルが存在するシリーズを買ってくればだいたい動く」という状態にはまだごくわずかに辿り着いていません(18.10由来のHWEカーネルが利用できる18.04.2以降であればそこそこ期待できます⁠⁠。

その他のニュース

  • Ubuntuにおける『SACK Panic/SACK DoS』注5CVE-2019-11477, CVE-2019-11478, CVE-2019-11479, NFLX-2019-001への対応の概要。基本的にはカーネルを更新するべきですが,SACKを使用しないことによる副作用を無視できる(あるいは副作用以上に攻撃を警戒するべき)環境であれば,sysctl(or procfs)経由でSACKを無効にすることで攻撃の影響を抑制できる旨が説明されています注6⁠。
注5
この攻撃手法を利用することで,TCP接続を確立できるクライアントから特定のパケットを送り込み続けることでカーネルパニックを発生させることが可能です。愉快犯的なアタッカーの存在を仮定した場合,インターネット上に存在するすべてのホストが攻撃を受ける可能性があります。
注6
SACKの無効化による悪影響が予測できない(予測するためのコストを支払えない,あるいは実際に変更してみて計測できない)ケースでは,カーネルを更新してしまうほうがトータルコストは少なくなるでしょう。

今週のセキュリティアップデート

usn-4008-2:AppArmor update
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-June/004946.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2019-11190を修正します。
  • CVE-2019-11190への対応を行ったカーネルにおいて,本来意図されないアクセス拒否が発生していた問題を修正します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4011-1, usn-4011-2:Jinja2のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-June/004947.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-June/004948.html
  • Ubuntu 19.04・18.10・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2016-10745, CVE-2019-10906を修正します。
  • サンドボックス迂回が可能な攻撃点が複数存在していました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3991-2, usn-3991-3:Firefoxの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-June/004949.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-June/004959.html
  • Ubuntu 19.04・18.10 ・18.04 LTS ・16.04 LTS用のアップデータがリリースされています。
  • Firefox 67.0.2のUbuntuパッケージ版です。Ubuntuのアップグレード時に間接的に発生する問題と,セーフモードに切り替えた後に正常に動作しなくなる問題を修正します。
  • 対処方法:アップデータを適用の上,Firefoxを再起動してください。
usn-4008-3:Linux kernel (Xenial HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-June/004950.html
  • Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2019-11190, CVE-2019-11191, CVE-2019-11810, CVE-2019-11815を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。
usn-4012-1:elfutilsのセキュリティアップデート
usn-4013-1:libsndfileのセキュリティアップデート
usn-4014-1, usn-4014-2:GLibのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-June/004953.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-June/004954.html
  • Ubuntu 19.04・18.10・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-12450を修正します。
  • 悪意ある加工を施したファイルを処理させることで,機微情報が漏出することがありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4015-1, usn-4015-2:DBusのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-June/004955.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-June/004958.html
  • Ubuntu 19.04・18.10・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。
  • DBUS_COOKIE_SHA1による認証を迂回する特権昇格が可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4016-1, usn-4016-2:Vim, Neovimのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-June/004956.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-June/004957.html
  • Ubuntu 19.04・18.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2017-5953, CVE-2019-12735を修正します。
  • 悪意ある加工を施したファイルを処理させることで,任意のコードの実行が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。