Ubuntu Weekly Topics

2019年12月6日号 Ubuntu Proのリリース

この記事を読むのに必要な時間:およそ 3 分

“Ubuntu Pro”のリリース

12月4日(現地時間⁠⁠,Canonicalから「Ubuntu Pro」という新しいプロダクトがリリースされました。最初にリリースされたのはUbuntu Pro for AWSと呼ばれるAWS向けバージョンで,AWS Marketplaceから入手できるものです。

Ubuntu Proは端的には「Ubuntu Advantageが事前に組み込まれ,追加契約なしで利用できるCloud Image」といったもので,ESM(=LTSの合計10年サポート)とKernel Livepath,Landscapeなど,Ubuntu Advantageで利用できる機能が起動時点で自動的に有効化されるように構成されています。

コスト面では通常のEC2の費用に加えて,Ubuntu Pro分の追加費用を合算した形で支払う形になります。また,既存のUbuntuのCloud Imageとは異なるAMIで,直接的に「通常のUbuntu」「Ubuntu Pro」を行き来できません(が,正しい使い方をしていればこれで困ることはあまりないでしょう⁠⁠。

ここで気になるのが,これまでのクラウド上のUbuntu Advantageの利用形態との違いです。端的には次のような差異があると考えておくと良いでしょう。

  • Ubuntu Advantageは年間での契約が必要だが,Ubuntu Proは単にクラウド上のインスタンスを起動するだけでよい注1⁠。
  • Ubuntu Proにはクラウド上のワークロード(universeリポジトリにある,KafkaやMongoDB,RabbitMQ,Redis,NodeJS,PostgreSQL等)に向けたセキュリティパッチがCanonicalから提供される。これはUbuntu Advantageではカバーされない。
  • Ubuntu Proには特定クラウド向けのインテグレーションが含まれる。For AWSとしてはCloudTrailやSecurity Hubとの統合。ただしこの部分は2020Q1予定。
  • Ubuntu AdvantageにはCanonicalのナレッジベースへのアクセス権と,プランによっては注2)Canonicalへの直接問い合わせ権が付与される。Ubuntu Proにはない。
注1
一部のクラウド事業者経由で入手できる時間課金バージョンのUbuntu Advantageもあり,こちらをセットで利用することで近いことは可能でした。
注2
Standard以上のプランが必要になります。https://ubuntu.com/legal/ubuntu-advantage-service-descriptionを参照してください。

詳しい説明として,Ubuntu Proのデータシートをあわせて確認してください。

さらにラフに言えば,Ubuntu Proは「クラウド向けスペシャル版Ubuntu Advantage Essential」という捉え方ができます。Ubuntu Proイメージの内部的な動作としても,uaコマンドによるサブスクリプション管理も利用可能であり,Ubuntu Advantage Essentialの一種として認識される動作となっています。追加のプラグインがUbuntu Advantage clientに含まれています。

一方,ほとんどのパッケージは通常のUbuntuと違いはなく,⁠利便性のために,あらかじめUbuntu Advantageが入っているUbuntu」以外のなにものでもありません。利用形態にもよりますが,通常のUbuntuでまったく問題がないでしょうし,Ubuntu Proでなくては利用できない機能,というのも基本的には存在しません(Ubuntu Advantageに由来する,特許係争からの保護やFIPSカーネルの利用などは「Ubuntu Proでなくてはいけない」機能ではあります⁠⁠。

「For AWS」という文字列から,気になるのは「AWS以外のクラウドでは利用できるのか」という点ですが,少なくとも現時点ではAWS以外でのリリース予定や,コード上の痕跡を確認できません。

しかし,実装を見るかぎり今後の拡張を前提にしたつくりになっており注3⁠,PoC的なコードではいろいろなクラウドが含まれていることもあり,また,サブスクリプションの有効性を確認するためのコードはモジュール化を前提にしているため,今後の展開に期待できそうです。

注3
「今後がんばる」的なコメントが含まれていますが,そっと見なかったことにしておきましょう。

ちなみにコミットログからは,どうも「premium」という名前で開発されていた気配を感じ取ることができます。⁠Ubuntu Pro is the marketing name for the images that are entitled to multiple Ubuntu Advantage support services」というコミットログから考えても,今後いろいろなところで「Ubuntu Pro for ****」というサービスを目にすることになるのかもしれません。

今週のセキュリティアップデート

usn-4201-1:Rubyのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-November/005221.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-15845, CVE-2019-16201, CVE-2019-16254, CVE-2019-16255を修正します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4203-1, usn-4203-2:NSSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-November/005222.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-November/005223.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。
  • 悪意ある入力を処理させることで,メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行につながる可能性があります。
  • 対処方法:アップデータを適用の上,NSSを利用するアプリケーションを再起動してください。
usn-4204-1:psutilのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-November/005224.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-18874を修正します。
  • 悪意ある入力を処理させることで,メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行につながる可能性があります。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4205-1:SQLiteのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-December/005225.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2018-8740, CVE-2019-16168, CVE-2019-19242, CVE-2019-19244, CVE-2019-5018, CVE-2019-5827を修正します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4208-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-December/005226.html
  • Ubuntu 19.10・18.04 LTS用のアップデータがリリースされています。CVE-2019-15794, CVE-2019-17075, CVE-2019-17133, CVE-2019-18810, CVE-2019-19048, CVE-2019-19060, CVE-2019-19061, CVE-2019-19065, CVE-2019-19067, CVE-2019-19069, CVE-2019-19075, CVE-2019-19083を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4209-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-December/005227.html
  • Ubuntu 19.04・18.04 LTS用のアップデータがリリースされています。CVE-2019-15794, CVE-2019-16746, CVE-2019-19076を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4210-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-December/005228.html
  • Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-16746, CVE-2019-17075, CVE-2019-17133, CVE-2019-19060, CVE-2019-19065, CVE-2019-19075を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4211-1, usn-4211-2:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-December/005229.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-December/005230.html
  • Ubuntu 16.04 LTS・14.04 ESM用のアップデータがリリースされています。CVE-2018-20784, CVE-2019-17075, CVE-2019-17133を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。