groovyの開発+α
groovy(+それ以降)ではDMESG_RESTRICTを有効にしたい という提案が行われています。これにより、10年越しに「一般ユーザーはdmesgを実行できない」( 注1 )という挙動が実現されるかもしれません[2] 。
この制約はkernel.dmesg_restrictパラメータのデフォルト値の変更によって実現されるため、sysctlの変更によって(あるいは、実装される設定の変更によって)古い状態に戻すこともできるはずです。
[1] dmesgには、「 カーネルが割り当てた各種アドレス空間」「 どのようなデバイスが接続されていて、どのようなドライバやカーネルモジュールが読み込まれているか」といった、利用者にはあまり関係のない(しかし攻撃者にとっては知ることでメリットがある)メッセージが出力されています。これを隠すべき、という議論は伝統的に継続されており、Ubuntuでは同じ提案がおよそ10年前 に検討されたことがあります。
これらの「新しい」動きとは別に、やや興味深い取り組みが開始されています 。
リクエストそのものは「Ubuntu Advantageの利用上、重要なキーパーツとなるsosreportを更新したい」( 注3 )というもので、SRUプロセス に基づいた準備が進められています(つまりこの更新はfocalなどの既存のバージョンに向けたもので、groovyには影響しません) 。
このSRUリクエストドキュメントのポイントは「It is also the aim of this document to provide an example for any upstream project that wants to push updates to an Ubuntu stable release.」( このドキュメントのもう一つの目的は、任意のupstream projectで行われた更新をUbuntuのstable releaseに取り込むための例になることです)という記述が含められていることで、『 なんとなく』というレベルではあるものの、今後も同様のSRUが続けられる体制を目指そうとしているのではないか、という気配が見えています。こうした個別のユーザーランドパッケージの更新はシステム全体への影響は小さく、たいていの場合メリットにつながるはずなので、ユーザーにとっては良い傾向と言えそうです。
[3] sosreportは、「 システムが不調なときに、関連しそうなありとあらゆるログや設定ファイルやメトリクスを収集し、サポート窓口に送付するためのアーカイブを作成してくれるツールです(ルーターやスイッチに詳しい人向けの説明としては、「 show tech-supportです」というものになります) 。
UBportsのTreble対応イメージ
Ubuntu Phoneの後継プロジェクト、UBportsを利用した「GSI(Project Treble)対応UBportsイメージ」がリリース されています。
GSI(Generic System Image )は、『 素のAndroid』に相当する実装です。このUBportsイメージはGSIからの派生として実装されており、『 GSIが動作する端末』( ≒Project Treble に完全に対応している端末)で動作します。……つまり、これまでは「特定の機種向けに移植されたイメージ」がなければUBPortsを実行できませんでしたが、このイメージはかなり多くのデバイスで動作するということです。
「Trebleに完全に対応している」という条件は、非常に雑に要約すると「リリース時点からAndroid 9がプリインストールされており、なおかつgetprop ro.treble.enabledにtrueと返すデバイス」というものになります。お手元に該当するデバイスがある場合は、UBportsを試してみてもいいかもしれません(ただし、UBportsは、実用品として使うにはなかなかに厳しいものであることはお忘れなく) 。
その他のニュース
“Ubuntu Appliance” をRaspberry Pi側から見た紹介記事 。コミュニティイメージをUbuntu Applianceに追加するための手続きも簡単に紹介されており、「 新しい使い方」を提案したい場合は目を通しておくと良いでしょう。
“Project Sputnik ” から産み出された「開発者向けUbuntuプリインストールマシン」 、XPS 13 Developer EditionのUbuntu 20.04 LTSバージョン が登場しています。ICE Lake世代 のプロセッサに加えて、2k or 4kディスプレイ等、比較的現代的な(ただしメモリはオンボード実装で最大16GB)ハードウェアを備えた、「 届いた時からすぐに開発作業に集中できる」PCです。
今週のセキュリティアップデート
usn-4395-1 :fwupdのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005478.html
Ubuntu 20.04 LTS・19.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-10759 を修正します。
悪意ある加工を施したファームウェアを用いた場合、署名検証が正常に機能しない問題がありました。
対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4315-2 :Apportのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005479.html
Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2020-8831 , CVE-2020-8833 を修正します。
usn-4315-1 の14.04 ESM用パッケージです。
対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4396-1 :libexifのセキュリティアップデート
usn-4397-1 :NSSのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005481.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005484.html
Ubuntu 20.04 LTS・19.10・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-17023 , CVE-2020-12399 を修正します。
悪意ある入力を行うことで、DoSが可能でした。また、DSA鍵に対するタイミング攻撃が可能でした。
対処方法:アップデータを適用の上、システムを再起動してください。
usn-4398-1 , usn-4398-2 :DBusのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005482.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005483.html
Ubuntu 20.04 LTS・19.10・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2020-12049 を修正します。
悪意ある操作を行うことで、ローカルからのDoSが可能でした。
対処方法:アップデータを適用の上、システムを再起動してください。
usn-4399-1 :Bindのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005485.html
Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-8618 , CVE-2020-8619 を修正します。
悪意ある操作を行うことで、DoSが可能でした。
対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4400-1 :nfs-utilsのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005486.html
Ubuntu 20.04 LTS・19.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-3689 を修正します。
/var/lib/nfsディレクトリのパーミッションが正しくなく、権限昇格に悪用することが可能でした。
対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4401-1 :Muttのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-June/005487.html
Ubuntu 20.04 LTS・19.10・18.04 LTS・16.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2020-14093 , CVE-2020-14154 を修正します。
悪意ある操作を行うことで、MiTM攻撃と、expire済みの中間証明書を利用した接続を構成することが可能でした。
対処方法:通常の場合、アップデータを適用することで問題を解決できます。