Ubuntu Weekly Topics
2019年6月21日号 eoanにおけるi386サポートの終了,ThinkPad PのUbuntu搭載モデル,SACK Panic
eoanにおけるi386サポートの終了
eoan
ここでの
i386の廃止はこの数年Ubuntuにとっては定番の話題になりつつあり,
- 注1
- いろいろな偶然の結果,
CanonicalのIPOが話題になるタイミングと揃っているように見えてしまいますが, これは単にどちらも開発の特定のタイミング (というかリリース後) に出てきやすい話題である, というだけの話です。
- 2016年2月5日号。
「ISOイメージとしてi386はもう提供しなくても良いのでは?」 という議論。 - 2016年7月1日号。
「amd64が利用できず, i386だけが動作する環境はどれぐらいあるのか?」 という議論。 - 2017年5月19日号。
「DesktopやServerではもうi386は要らないのでは?」 という議論。 - 2018年5月18日号。
「そろそろi386サポートを本気で打ち切ろう」 という議論。 - 2019年2月22日号。
「20. 04 LTSまでにはi386を終了しておきたい」 という議論。
しかしながら
i386版Ubuntuが存在しなくなることは
この問題に対してはいくつかの解が存在するのですが
- 注2
- 今に至るまでi386のまま残されてきているものである以上,
そう簡単にはamd64版がリリースされない可能性があります。 - 注3
- 現状で想定されるのは
「18. 04 LTS由来のi386バイナリを利用する」 (できればSnapパッケージにする) というものです。
- Q. XubuntuやLubuntuはどうなるの?
- A. 同じソースやビルドファームを利用しているため,
Ubuntuと同じようにi386サポートが終了することになる。 - Q. i386でインストールしたこのUbuntu 18.
04 LTSはどうなるの? - A. 2023年まではセキュリティ更新を利用できる。また,
ESMを利用すれば2028年まではセキュリティ更新が提供される。 - Q. 32bitモードでしか動作しないアプリケーションが存在する環境ではどうするべき?
- A. 2020年の
「次」 のLTSか, 2022の 「次の次」 のLTSの頃までにはamd64環境で動作するようにマイグレーションが行われるのが望ましい。もしくは, 18. 04 LTSベースのLXD環境を準備し, そこで32bitアプリケーションを動作させるのがよい。 - Q. Ubuntuの派生ディストリビューションである,
MintやPop_ OS, Zorinはどうなる? - A. Ubuntuをベースにする前提であれば,
同じようにi386サポートを終了することになる。i386をより長くサポートするディストリビューションに移行して継続する選択肢も存在はする。 - Q. Linux版Steamは32bitライブラリを利用しているのだけど,
これはどうなるの? - Ubuntu Team/
CanonicalはValveとこの件について話し合っている。LXDによる延命はまず可能なので, GPUをLXDにパススルーしてゲームすることができるだろう。
ThinkPad PのUbuntu搭載モデル
Lenovoの提供するThinkPad Pシリーズの最新シリーズに,
なお
- 注4
- かつてのこの種の対応はDKMSとPPAを用いた
「専用ドライバ」 の追加という形で行われてきていましたが, Ubuntu搭載モデルが一定のシェアを得つつあることもあり, 18. 10, 19. 04ではgenericカーネルそのものに 「OEM用」 のパッチが投入される形に切り替わりつつあります。ただし18. 04 LTS (の, 出荷時の4. 15シリーズ) まではOEM向け専用のカーネルツリーが利用されていたため, 「たとえ日本でUbuntuモデルが存在しなくても, Dell, Lenovo, HP製品のUbuntuプリインストールモデルが存在するシリーズを買ってくればだいたい動く」 という状態にはまだごくわずかに辿り着いていません (18. 10由来のHWEカーネルが利用できる18. 04. 2以降であればそこそこ期待できます)。
その他のニュース
- Ubuntuにおける
『SACK Panic/ SACK DoS』 (注5。CVE-2019-11477, CVE-2019-11478, CVE-2019-11479, NFLX-2019-001) への対応の概要。基本的にはカーネルを更新するべきですが, SACKを使用しないことによる副作用を無視できる (あるいは副作用以上に攻撃を警戒するべき) 環境であれば, sysctl (or procfs) 経由でSACKを無効にすることで攻撃の影響を抑制できる旨が説明されています (注6)。
- 注5
- この攻撃手法を利用することで,
TCP接続を確立できるクライアントから特定のパケットを送り込み続けることでカーネルパニックを発生させることが可能です。愉快犯的なアタッカーの存在を仮定した場合, インターネット上に存在するすべてのホストが攻撃を受ける可能性があります。 - 注6
- SACKの無効化による悪影響が予測できない
(予測するためのコストを支払えない, あるいは実際に変更してみて計測できない) ケースでは, カーネルを更新してしまうほうがトータルコストは少なくなるでしょう。
今週のセキュリティアップデート
- usn-4008-2:AppArmor update
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004946. html - Ubuntu 16.
04 LTS用のアップデータがリリースされています。CVE-2019-11190を修正します。 - CVE-2019-11190への対応を行ったカーネルにおいて,
本来意図されないアクセス拒否が発生していた問題を修正します。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-4011-1, usn-4011-2:Jinja2のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004947. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004948. html - Ubuntu 19.
04・ 18. 10・ 18. 04 LTS・ 16. 04 LTS・ 14. 04 ESM・ 12. 04 ESM用のアップデータがリリースされています。CVE-2016-10745, CVE-2019-10906を修正します。 - サンドボックス迂回が可能な攻撃点が複数存在していました。
- 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3991-2, usn-3991-3:Firefoxの再アップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004949. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004959. html - Ubuntu 19.
04・ 18. 10 ・ 18. 04 LTS ・ 16. 04 LTS用のアップデータがリリースされています。 - Firefox 67.
0.2 のUbuntuパッケージ版です。Ubuntuのアップグレード時に間接的に発生する問題と,セーフモードに切り替えた後に正常に動作しなくなる問題を修正します。 - 対処方法:アップデータを適用の上,
Firefoxを再起動してください。
- https://
- usn-4008-3:Linux kernel (Xenial HWE)のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004950. html - Ubuntu 14.
04 ESM用のアップデータがリリースされています。CVE-2019-11190, CVE-2019-11191, CVE-2019-11810, CVE-2019-11815を修正します。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるので, 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-4012-1:elfutilsのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004951. html - Ubuntu 18.
10・ 18. 04 LTS・ 16. 04 LTS用のアップデータがリリースされています。CVE-2018-16062, CVE-2018-16402, CVE-2018-16403, CVE-2018-18310, CVE-2018-18520, CVE-2018-18521, CVE-2019-7149, CVE-2019-7150, CVE-2019-7665を修正します。 - 悪意ある加工を施したファイルを処理させることで,
リソースの過大消費を発生させることが可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-4013-1:libsndfileのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004952. html - Ubuntu 18.
10・ 18. 04 LTS・ 16. 04 LTS用のアップデータがリリースされています。CVE-2017-14245, CVE-2017-14246, CVE-2017-14634, CVE-2017-16942, CVE-2017-17456, CVE-2017-17457, CVE-2017-6892, CVE-2018-13139, CVE-2018-19432, CVE-2018-19661, CVE-2018-19662, CVE-2018-19758, CVE-2019-3832を修正します。 - 悪意ある加工を施したファイルを処理させることで,
メモリ破壊を伴うクラッシュを発生させることが可能でした。任意のコードの実行に繋がる可能性があります。 - 対処方法:アップデータを適用の上,
セッションを再起動 (一度ログアウトして再度ログイン) してください。
- https://
- usn-4014-1, usn-4014-2:GLibのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004953. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004954. html - Ubuntu 19.
04・ 18. 10・ 18. 04 LTS・ 16. 04 LTS・ 14. 04 ESM・ 12. 04 ESM用のアップデータがリリースされています。CVE-2019-12450を修正します。 - 悪意ある加工を施したファイルを処理させることで,
機微情報が漏出することがありました。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-4015-1, usn-4015-2:DBusのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004955. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004958. html - Ubuntu 19.
04・ 18. 10・ 18. 04 LTS・ 16. 04 LTS・ 14. 04 ESM・ 12. 04 ESM用のアップデータがリリースされています。 - DBUS_
COOKIE_ SHA1による認証を迂回する特権昇格が可能でした。 - 対処方法:アップデータを適用の上,
システムを再起動してください。
- https://
- usn-4016-1, usn-4016-2:Vim, Neovimのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004956. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004957. html - Ubuntu 19.
04・ 18. 10・ 18. 04 LTS・ 16. 04 LTS用のアップデータがリリースされています。CVE-2017-5953, CVE-2019-12735を修正します。 - 悪意ある加工を施したファイルを処理させることで,
任意のコードの実行が可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
バックナンバー
Ubuntu Weekly Topics
- 2019年6月28日号 i386の継続についての議論(続)
- 2019年6月21日号 eoanにおけるi386サポートの終了,ThinkPad PのUbuntu搭載モデル,SACK Panic
- 2019年6月14日号 Ubuntuにおける「バージョンによる脆弱性判定」の正しいアプローチ,WSL2のプレビュー開始
- 2019年6月7日号 Dell Precision 5540, 7540, 7540の“Sputnik”バージョン,『Emacsの』snapパッケージ
関連記事
- 2021年12月17日号 Xilinx Zynq UltraScale+ EVB用Ubuntuイメージ,“Log4Shell”への対応
- 2019年8月16日号 Ubuntu 18.04.3のLivepatch・Ubuntu 18.04.3 LTS 日本語Remixのテスト
- 2019年7月19日号 WSL向けのメタパッケージ・「LTS向けの」最新nVIDIAドライバの提供・Ubuntu 18.10/CosmicのEOL
- 2019年5月10日号 Ubuntu 19.10 “Eoan Ermine”,Ubuntu 19.04&18.04.2 LTS 日本語Remixのリリース
- 2018年11月16日号 18.04 LTSの10年サポート,Ubuntu 18.10 日本語Remixのリリース