Ubuntu Weekly Topics

2020年6月26日号 groovyの開発/DMEST_RESTRICTの検討・UBportsのTreble対応イメージ

この記事を読むのに必要な時間:およそ 3 分

groovyの開発+α

groovy(+それ以降)ではDMESG_RESTRICTを有効にしたいという提案が行われています。これにより,10年越しに「一般ユーザーはdmesgを実行できない」注1という挙動が実現されるかもしれません注2⁠。

この制約はkernel.dmesg_restrictパラメータのデフォルト値の変更によって実現されるため,sysctlの変更によって(あるいは,実装される設定の変更によって)古い状態に戻すこともできるはずです。

注1
dmesgには,⁠カーネルが割り当てた各種アドレス空間」⁠どのようなデバイスが接続されていて,どのようなドライバやカーネルモジュールが読み込まれているか」といった,利用者にはあまり関係のない(しかし攻撃者にとっては知ることでメリットがある)メッセージが出力されています。これを隠すべき,という議論は伝統的に継続されており,Ubuntuでは同じ提案がおよそ10年前に検討されたことがあります。
注2
ここでいう「一般ユーザー」の定義は「システムにおいて,admグループに属していないユーザー」⁠≒sudoでroot特権を取得できないユーザー)の意味です。

これらの「新しい」動きとは別に,やや興味深い取り組みが開始されています

リクエストそのものは「Ubuntu Advantageの利用上,重要なキーパーツとなるsosreportを更新したい」注3というもので,SRUプロセスに基づいた準備が進められています(つまりこの更新はfocalなどの既存のバージョンに向けたもので,groovyには影響しません⁠⁠。

このSRUリクエストドキュメントのポイントは「It is also the aim of this document to provide an example for any upstream project that wants to push updates to an Ubuntu stable release.」⁠このドキュメントのもう一つの目的は,任意のupstream projectで行われた更新をUbuntuのstable releaseに取り込むための例になることです)という記述が含められていることで,⁠なんとなく』というレベルではあるものの,今後も同様のSRUが続けられる体制を目指そうとしているのではないか,という気配が見えています。こうした個別のユーザーランドパッケージの更新はシステム全体への影響は小さく,たいていの場合メリットにつながるはずなので,ユーザーにとっては良い傾向と言えそうです。

注3
sosreportは,⁠システムが不調なときに,関連しそうなありとあらゆるログや設定ファイルやメトリクスを収集し,サポート窓口に送付するためのアーカイブを作成してくれるツールです(ルーターやスイッチに詳しい人向けの説明としては,⁠show tech-supportです」というものになります⁠⁠。

UBportsのTreble対応イメージ

Ubuntu Phoneの後継プロジェクト,UBportsを利用した「GSI(Project Treble)対応UBportsイメージ」リリースされています。

GSIGeneric System Imageは,⁠素のAndroid』に相当する実装です。このUBportsイメージはGSIからの派生として実装されており,⁠GSIが動作する端末』⁠≒Project Trebleに完全に対応している端末)で動作します。……つまり,これまでは「特定の機種向けに移植されたイメージ」がなければUBPortsを実行できませんでしたが,このイメージはかなり多くのデバイスで動作するということです。

「Trebleに完全に対応している」という条件は,非常に雑に要約すると「リリース時点からAndroid 9がプリインストールされており,なおかつgetprop ro.treble.enabledにtrueと返すデバイス」というものになります。お手元に該当するデバイスがある場合は,UBportsを試してみてもいいかもしれません(ただし,UBportsは,実用品として使うにはなかなかに厳しいものであることはお忘れなく⁠⁠。

その他のニュース

  • “Ubuntu Appliance⁠をRaspberry Pi側から見た紹介記事。コミュニティイメージをUbuntu Applianceに追加するための手続きも簡単に紹介されており,⁠新しい使い方」を提案したい場合は目を通しておくと良いでしょう。
  • Project Sputnikから産み出された「開発者向けUbuntuプリインストールマシン⁠⁠,XPS 13 Developer EditionのUbuntu 20.04 LTSバージョンが登場しています。ICE Lake世代のプロセッサに加えて,2k or 4kディスプレイ等,比較的現代的な(ただしメモリはオンボード実装で最大16GB)ハードウェアを備えた,⁠届いた時からすぐに開発作業に集中できる」PCです。

今週のセキュリティアップデート

usn-4395-1:fwupdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005478.html
  • Ubuntu 20.04 LTS・19.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-10759を修正します。
  • 悪意ある加工を施したファームウェアを用いた場合,署名検証が正常に機能しない問題がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4315-2:Apportのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005479.html
  • Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2020-8831, CVE-2020-8833を修正します。
  • usn-4315-1の14.04 ESM用パッケージです。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4396-1:libexifのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005480.html
  • Ubuntu 20.04 LTS・19.10・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2020-0093, CVE-2020-0182, CVE-2020-0198, CVE-2020-13112, CVE-2020-13113, CVE-2020-13114を修正します。
  • 悪意ある加工を施したファイルを処理させることで,本来秘匿されるべきメモリ空間の漏出,DoSが可能でした。
  • 対処方法:アップデータを適用の上,セッションを再起動(一度ログアウトして再度ログイン)してください。
usn-4397-1:NSSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005481.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005484.html
  • Ubuntu 20.04 LTS・19.10・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-17023, CVE-2020-12399を修正します。
  • 悪意ある入力を行うことで,DoSが可能でした。また,DSA鍵に対するタイミング攻撃が可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4398-1, usn-4398-2:DBusのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005482.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005483.html
  • Ubuntu 20.04 LTS・19.10・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2020-12049を修正します。
  • 悪意ある操作を行うことで,ローカルからのDoSが可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4399-1:Bindのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005485.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-8618, CVE-2020-8619を修正します。
  • 悪意ある操作を行うことで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4400-1:nfs-utilsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005486.html
  • Ubuntu 20.04 LTS・19.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-3689を修正します。
  • /var/lib/nfsディレクトリのパーミッションが正しくなく,権限昇格に悪用することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4401-1:Muttのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005487.html
  • Ubuntu 20.04 LTS・19.10・18.04 LTS・16.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2020-14093, CVE-2020-14154を修正します。
  • 悪意ある操作を行うことで,MiTM攻撃と,expire済みの中間証明書を利用した接続を構成することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。