Ubuntu Weekly Topics

2020年11月13日号　Ubuntu 20.10 日本語 Remixのリリース，「Regression Potential」から「Where problems could occur」への変更

Twitter リスト

2020年11月13日

吉田史

Ubuntu, Focal Fossa, Groovy Gorilla, Xenial Xerus

この記事を読むのに必要な時間：およそ 4 分

Ubuntu 20.10 日本語 Remixのリリース

Ubuntu Japanese Teamは，ご協力いただいたボランティアの皆様の力により11月10日にUbuntu 20.10 日本語 Remixをリリースしました。ダウンロードページから入手可能です。

「Regression Potential」から「Where problems could occur」への変更

Ubuntuでは，「⁠一度リリースした後は，アップデータによる変更は限定的に行う」（⁠注1）という「SRU」（⁠Stable Release Updates）と呼ばれるポリシーとプロセスがあります（注2⁠）⁠。SRUでは「リリース後に提供されるパッケージ」に一定の審査を行い，条件を満たしているか，より平たく言えば「大惨事を引き起こすような変更が加わっていないか」「⁠実際に問題が起きないか」を確認してリリースします。

注1: 「一度リリースしたら，技術的に変えることが妥当ではなくなる場所がある」という点がスタートポイントです。たとえばリリース後にglibcのバージョンが大きく変更され，各種関数に互換性がなくなるようなことになると，大量の動かないパッケージやバイナリが発生してしまうかもしれません。こうした「変えるべきではない」箇所を避け，更新のリスクを局所化するのがSRUポリシーの役割です。こうしたポリシーはUbuntuに限らず，大抵の「リリースのある」Linuxディストリビューションでは近似したものが採用されています。
注2: 現在のSRUポリシーについては2015年10月2日号を参照してください

このプロセスに小さな，しかし象徴的な変更が加えられました。

SRUプロセスではこれまで，以下の3つのセクションで構成された「審査のための文書」が用意されてきました。

「Impact」（⁠あるいは他のより適切な見出し）で始まる，「⁠バグがどのようなものであるか，ユーザーにどのような影響を与えているか，そしてなぜその修正を取り込む必要があるのか」を説明するセクション
「Test Case」で始まる，きっかけとなったバグを再現する手順を記載するセクション。
「Regression Potential」で始まる，「⁠この更新によって悪影響が発生する場合，どのような場所で生じる可能性があるか」の情報を示すセクション。

今回の変更では，これらのうち，「⁠Regression Potential」（⁠リグレッションの可能性）セクションの見出しが「Where problems could occur」（⁠どこで問題が起きうるか）に変更になりました。

背景としては「Regression Potentialと言われると，どうしても『無し』『⁠低い』『⁠高い』と書きたくなるよね」というものです。「⁠可能性」について聞いてしまっていると誤解することで，期待と異なる回答が返ってしまう問題の修正が狙いです。

「どこで」問題が起きるかを知りたいにも関わらず，Regression Potentialという単語によって「低い」といった単語にミスリードされてしまうと審査ができないので，『⁠どこで問題が起きますか』という確認が必要になってしまって誰も幸せになれないという点が述べられています。

その他のニュース

各種SoCベースのSBC（Single Board Computer）やエッジコンピューティングノードでのUbuntuの活用状況について。Ubuntu Core 20（20.04 LTSをベースにしたIoT/組み込み向けUbuntu）のリリース前の宣伝という気配はありますが，最近のLinuxの活用という意味では目を通しておくと良さそうです。
間もなくリリースされる，16.04 LTSのESMについての検討ガイド。属性的にはどちらかというと「アップグレードが簡単ではないならESMをどうぞ」というものではありますが（ESMは基本的には有償で入手するものなので，「⁠アップグレードが大変である」「⁠人的コストが無視できない」といった前提が必要です⁠）⁠，「⁠16.04 LTSが手元にある」といった場合には検討を開始するのが良いでしょう。サポート切れまでは半年もありません。

今週のセキュリティアップデート

usn-4611-1：Sambaのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005734.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-14318, CVE-2020-14323, CVE-2020-14383を修正します。
悪意ある操作を行うことで，ファイル名の不正な取得・DoSが可能でした。
対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4605-2：Blueman update

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005735.html
Ubuntu 20.10・20.04 LTS用のアップデータがリリースされています。
usn-4605-1での対応を上書きする形で，追加の認証を提供します。
対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4614-1：GDMのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005736.html
Ubuntu 20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-16125を修正します。
accountserviceデーモンが正常動作していない場合，誤ってイニシャルセットアップが実行されていました。悪用により特権の奪取が可能です。
対処方法：アップデータを適用の上，システムを再起動してください。

usn-4616-1：AccountsServiceのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005737.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2018-14036, CVE-2020-16126, CVE-2020-16127を修正します。
悪意ある操作を行うことで，DoS・任意のファイルの読み取りが可能でした。
対処方法：アップデータを適用の上，システムを再起動してください。

usn-4613-1：python-cryptographyのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005738.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-25659を修正します。
特定の暗号系においてBleichenbacher攻撃が可能でした。
対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4615-1：Yerase's TNEFのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005739.html
Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-6298, CVE-2017-6299, CVE-2017-6300, CVE-2017-6301, CVE-2017-6302, CVE-2017-6303, CVE-2017-6304, CVE-2017-6305, CVE-2017-6306, CVE-2017-6800, CVE-2017-6801, CVE-2017-6802を修正します。
悪意ある操作を行うことで，nullポインタ参照・無限ループ・バッファオーバーフロー・境界外read・ディレクトリトラバーサル等が可能でした。
対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4617-1：SPICE vdagentのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005740.html
Ubuntu 20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-25650, CVE-2020-25651, CVE-2020-25652, CVE-2020-25653を修正します。
悪意ある操作を行うことで，DoSが可能でした。
対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4616-2：AccountsServiceのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005741.html
Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2018-14036, CVE-2020-16126を修正します。
usn-4616-1の14.04 ESM用パッケージです。
対処方法：アップデータを適用の上，システムを再起動してください。

usn-4618-1：tmuxのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005742.html
Ubuntu 20.10・20.04 LTS用のアップデータがリリースされています。CVE-2020-27347を修正します。
悪意ある入力を行うことで，DoS・任意のコードの実行が可能でした。
対処方法：アップデータを適用の上，tmuxセッションを再起動してください。

usn-4619-1：dom4jのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005743.html
Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2018-1000632を修正します。
悪意ある入力を行うことで，DoS・任意のコードの実行が可能でした。
対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4599-3：Firefoxの再アップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005744.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。
Firefox 82.0.2のUbuntuパッケージ版です。
対処方法：アップデータを適用の上，Firefoxを再起動してください。

usn-4620-1：phpLDAPadminのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005745.html
Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2017-11107を修正します。
悪意ある操作を行うことで，DoS・任意のコードの実行が潜在的に可能でした。
対処方法：アップデータを適用の上，phpLDAPadminを再起動してください。

usn-4621-1：netqmailのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005746.html
Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2005-1513, CVE-2005-1514, CVE-2005-1515, CVE-2020-3811, CVE-2020-3812を修正します。
悪意ある操作を行うことで，DoS・任意のコードの実行・Eメールアドレス検証の迂回が可能でした。
対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4622-1：OpenLDAPのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005747.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-25692を修正します。
悪意ある操作を行うことで，DoS・任意のコードの実行が潜在的に可能でした。
対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4623-1：Pacemakerのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005748.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-25654を修正します。
悪意ある操作を行うことで，ACLの迂回・特権の奪取が可能でした。
対処方法：通常の場合，アップデータを適用することで問題を解決できます。

Ubuntu, Focal Fossa, Groovy Gorilla, Xenial Xerus

著者プロフィール

吉田史（よしだふみひと）

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

バックナンバー

Ubuntu Weekly Topics

2020年11月20日号　Meltdown/Spectre/Foreshadowの後の世界・“PLATYPUS”
2020年11月13日号　Ubuntu 20.10 日本語 Remixのリリース，「Regression Potential」から「Where problems could occur」への変更
2020年11月6日号　hirsuteの開発/UsrMergeの今後，Rasberry Pi 400

バックナンバー一覧

ピックアップ

ヒューマンリソシアのGITサービスが目指す，時代にアジャストするエンジニアチームの作り方: アフターコロナにおけるエンジニアチームの作り方，グローバルな視点でのエンジニア獲得と開発とコミュニケーションの在り方について取り上げます。
LINE テクノロジー＆エンジニアリング大全: 「LINE DEVELOPER DAY 2020」より，注目すべきテクノロジー，エンジニアリングをピックアップし，詳説インタビューを実施しました。
プロダクト思考で開発が進む「みてね」の今とこれから～みてねの生みの親笠原健治氏，開発マネージャ酒井篤氏が考える，プロダクトとエンジニアリングの素敵な関係: 「家族アルバムみてね」を支えるエンジニアリングについて，開発体制やプロダクトの開発・運用，これからのビジョンについて伺いました。
自分の証明と持続的な学びがこれからのDX人材の鍵を握る～A-BANKが考えるDX人材バンクの在り方とは？: 2020年11月にスタートしたA-BANKの人材バンク。評価・育成・紹介の一体型人材紹介から見える，これからの人材エコシステムに迫ります。
APIゲートウェイとサービスメッシュの違い: APIゲートウェイとサービスメッシュの，それぞれの概要とユースケースを紹介し，いずれを使用するかの判断の指針となるチートシートを提供しています。

その他の連載

CSS3アニメーションでつくるインターフェイス表現: CSS3によるアニメーション表現を紹介していきます。その中でも，幅広い読者に応用してもらえるだろうインターフェイスを主なお題とします。
MySQL道普請便り: 本連載では，MySQLを使ったアプリ開発・運用に関するノウハウをご紹介していきます。
Ubuntu Weekly Recipe: Ubuntuの強力なデスクトップ機能を活用するための，いろいろなレシピをお届けします。
JavaScriptセキュリティの基礎知識: JavaScriptに関するセキュリティ上の問題はどこで発生し，どうすれば防ぐことができるのか？について解説していきます。
Javaでなぜ問題が起きるのか〜システムをきちんと運用するための基礎知識: システムは「作って終わり」ではなく，運用の中でさまざまな問題が発生します。問題の発生に備えて事前にどのような対応をしておくべきなのか，問題発生時に何をしなければならないのか，ポイントを解説していきます。
きたみりゅうじの聞かせて珍プレー: ソフトウェア開発の現場で体験したトホホな失敗，思わずうなる珍プレーをきたみりゅうじ氏が四コママンガで紹介。みなさんからの投稿もお待ちしてます！
玩式草子─ソフトウェアとたわむれる日々: Plamo Linuxのメンテナンスの傍ら，Linuxやオープンソースソフトと日々を過ごす著者が，その魅力とつきあい方を，エッセイ風味でお届けします。
はまちちゃんとわかばちゃんのREADER'S FORUM―読者のページ: WEB+DB PRESS特別編集部員，さわやか笑顔のスーパーハカーはまちちゃんとネット大好き14歳わかばちゃんが，毎号，読者の皆さんから寄せられたおたよりを紹介します。皆さんの日頃の悩みにも答えちゃいますよ。