focalの開発

focalの開発は2月末にFeature Freezeを終えているものの、デフォルトのRubyを2.7に変更する動きと、OpenSSH 8.2を投入する[1]試み等、いろいろな対応が継続しています。

特にRubyについては、Debianサイドでも修正を行ってFFe（Future Freeze Exception）をかけつつ、それをsync（Debianからのインポート）し、かつ、各種リグレッションとFTBFSを制圧していく、という「それを本当にFuture Freeze後にやるの？」という気配のある、かなりダイナミックな対応となっています[2]⁠。さすがにまだプレビューステートであるAPT 2.0を投入することまではないであろうものの、今後も波乱が予想されます。

その他のニュース

• 「この20年ほどをだいたいWork From Homeで過ごしてきたノウハウと機材を公開するよ！」というDustin Kirklandのblog[3]⁠。
• 万人による万人のためのチュートリアル（Tutorials for everyone from everyone）プランとして、興味深い取り組みが始まりました。これはUbuntuのサイト上にある各種チュートリアルについて、gitベースでドキュメントを更新するのではなく、Discourse上でドキュメントを編集することで障壁を取り除こうとする、というものです。興味がある場合は、チュートリアルの書き方のチュートリアルを確認してみるとよいでしょう[4]⁠。

今週のセキュリティアップデート

usn-4290-2：libpam-radius-authのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-March/005350.html
• Ubuntu 14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2015-9542を修正します。
• usn-4290-1のESM向けリリースです。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4295-1：Rakeのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-March/005351.html
• Ubuntu 19.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-8130を修正します。
• 悪意ある加工を施したファイルを処理させることで、任意のコードの実行が可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4296-1：Djangoのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-March/005352.html
• Ubuntu 19.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-9402を修正します。
• 特定のDBエンジンを利用している場合、SQLインジェクションが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4297-1：runCのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-March/005353.html
• Ubuntu 19.10・18.04 LTS用のアップデータがリリースされています。CVE-2019-16884, CVE-2019-19921を修正します。
• 悪意あるコンテナイメージを利用した場合、ホスト側の特権を奪取される可能性がありました。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。
• 備考：そもそもコンテナイメージを「拾い食い」してはいけません。