Ubuntu Weekly Topics

2020年11月13日号 Ubuntu 20.10 日本語 Remixのリリース,「Regression Potential」から「Where problems could occur」への変更

この記事を読むのに必要な時間:およそ 4 分

Ubuntu 20.10 日本語 Remixのリリース

Ubuntu Japanese Teamは,ご協力いただいたボランティアの皆様の力により11月10日にUbuntu 20.10 日本語 Remixをリリースしました。ダウンロードページから入手可能です。

「Regression Potential」から「Where problems could occur」への変更

Ubuntuでは,⁠一度リリースした後は,アップデータによる変更は限定的に行う」注1という「SRU」Stable Release Updatesと呼ばれるポリシーとプロセスがあります注2⁠。SRUでは「リリース後に提供されるパッケージ」に一定の審査を行い,条件を満たしているか,より平たく言えば「大惨事を引き起こすような変更が加わっていないか」⁠実際に問題が起きないか」を確認してリリースします。

注1
「一度リリースしたら,技術的に変えることが妥当ではなくなる場所がある」という点がスタートポイントです。たとえばリリース後にglibcのバージョンが大きく変更され,各種関数に互換性がなくなるようなことになると,大量の動かないパッケージやバイナリが発生してしまうかもしれません。こうした「変えるべきではない」箇所を避け,更新のリスクを局所化するのがSRUポリシーの役割です。こうしたポリシーはUbuntuに限らず,大抵の「リリースのある」Linuxディストリビューションでは近似したものが採用されています。
注2
現在のSRUポリシーについては2015年10月2日号を参照してください

このプロセスに小さな,しかし象徴的な変更が加えられました

SRUプロセスではこれまで,以下の3つのセクションで構成された「審査のための文書」が用意されてきました。

  • 「Impact」⁠あるいは他のより適切な見出し)で始まる,⁠バグがどのようなものであるか,ユーザーにどのような影響を与えているか,そしてなぜその修正を取り込む必要があるのか」を説明するセクション
  • 「Test Case」で始まる,きっかけとなったバグを再現する手順を記載するセクション。
  • 「Regression Potential」で始まる,⁠この更新によって悪影響が発生する場合,どのような場所で生じる可能性があるか」の情報を示すセクション。

今回の変更では,これらのうち,⁠Regression Potential」⁠リグレッションの可能性)セクションの見出しが「Where problems could occur」⁠どこで問題が起きうるか)に変更になりました。

背景としては「Regression Potentialと言われると,どうしても『無し』⁠低い』⁠高い』と書きたくなるよね」というものです。⁠可能性」について聞いてしまっていると誤解することで,期待と異なる回答が返ってしまう問題の修正が狙いです。

「どこで」問題が起きるかを知りたいにも関わらず,Regression Potentialという単語によって「低い」といった単語にミスリードされてしまうと審査ができないので,⁠どこで問題が起きますか』という確認が必要になってしまって誰も幸せになれないという点が述べられています。

その他のニュース

  • 各種SoCベースのSBC(Single Board Computer)やエッジコンピューティングノードでのUbuntuの活用状況について。Ubuntu Core 20(20.04 LTSをベースにしたIoT/組み込み向けUbuntu)のリリース前の宣伝という気配はありますが,最近のLinuxの活用という意味では目を通しておくと良さそうです。
  • 間もなくリリースされる,16.04 LTSのESMについての検討ガイド。属性的にはどちらかというと「アップグレードが簡単ではないならESMをどうぞ」というものではありますが(ESMは基本的には有償で入手するものなので,⁠アップグレードが大変である」⁠人的コストが無視できない」といった前提が必要です⁠⁠,⁠16.04 LTSが手元にある」といった場合には検討を開始するのが良いでしょう。サポート切れまでは半年もありません。

今週のセキュリティアップデート

usn-4611-1:Sambaのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005734.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-14318, CVE-2020-14323, CVE-2020-14383を修正します。
  • 悪意ある操作を行うことで,ファイル名の不正な取得・DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4605-2:Blueman update
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005735.html
  • Ubuntu 20.10・20.04 LTS用のアップデータがリリースされています。
  • usn-4605-1での対応を上書きする形で,追加の認証を提供します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4614-1:GDMのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005736.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-16125を修正します。
  • accountserviceデーモンが正常動作していない場合,誤ってイニシャルセットアップが実行されていました。悪用により特権の奪取が可能です。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4616-1:AccountsServiceのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005737.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2018-14036, CVE-2020-16126, CVE-2020-16127を修正します。
  • 悪意ある操作を行うことで,DoS・任意のファイルの読み取りが可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4613-1:python-cryptographyのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005738.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-25659を修正します。
  • 特定の暗号系においてBleichenbacher攻撃が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4615-1:Yerase's TNEFのセキュリティアップデート
usn-4617-1:SPICE vdagentのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005740.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-25650, CVE-2020-25651, CVE-2020-25652, CVE-2020-25653を修正します。
  • 悪意ある操作を行うことで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4616-2:AccountsServiceのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005741.html
  • Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2018-14036, CVE-2020-16126を修正します。
  • usn-4616-1の14.04 ESM用パッケージです。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4618-1:tmuxのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005742.html
  • Ubuntu 20.10・20.04 LTS用のアップデータがリリースされています。CVE-2020-27347を修正します。
  • 悪意ある入力を行うことで,DoS・任意のコードの実行が可能でした。
  • 対処方法:アップデータを適用の上,tmuxセッションを再起動してください。
usn-4619-1:dom4jのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005743.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2018-1000632を修正します。
  • 悪意ある入力を行うことで,DoS・任意のコードの実行が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4599-3:Firefoxの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005744.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。
  • Firefox 82.0.2のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上,Firefoxを再起動してください。
usn-4620-1:phpLDAPadminのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005745.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2017-11107を修正します。
  • 悪意ある操作を行うことで,DoS・任意のコードの実行が潜在的に可能でした。
  • 対処方法:アップデータを適用の上,phpLDAPadminを再起動してください。
usn-4621-1:netqmailのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005746.html
  • Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2005-1513, CVE-2005-1514, CVE-2005-1515, CVE-2020-3811, CVE-2020-3812を修正します。
  • 悪意ある操作を行うことで,DoS・任意のコードの実行・Eメールアドレス検証の迂回が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4622-1:OpenLDAPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005747.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-25692を修正します。
  • 悪意ある操作を行うことで,DoS・任意のコードの実行が潜在的に可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4623-1:Pacemakerのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005748.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-25654を修正します。
  • 悪意ある操作を行うことで,ACLの迂回・特権の奪取が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

バックナンバー

Ubuntu Weekly Topics

バックナンバー一覧