2021年2月26日号　hirsuteの開発／ちょっとした事故、ポイントリリースのプロセスの更新

hirsuteの開発／ちょっとした事故

hirsuteの開発において、ちょっとした事故により、アーカイブが一時的に完全フリーズする事態が生じました。現在は解決済み、かつ「開発中にはよくある」という属性のものではあるものの、なかなかにインパクトのある事態でした（誤ったuid/gidがセットされた状態のパッケージが生成されていたために起きました⁠）⁠。

これとは別に、hirsute向けであるかどうか、リリースにおいてどのような形になるのか（そもそもこれがhirsute向けと判断していいのかすら）不明なものの、linux-unstableというメタパッケージ経由で、5.11カーネルが利用できる状態になっています。過去にもテスト目的で「linux-unstable」メタパッケージが現れたことがあるのですが、今回のようなパターンは過去に例がなく、最終的にどのように着地するのかは予想が困難です。

現時点においてhirsuteは5.10カーネルを利用してリリースされる予定で、リリースまで2ヶ月程度しかなく、また、5.11が利用されるべき積極的理由もないため、「⁠もしかすると」程度に捉えておくのがよさそうです。

ポイントリリースのプロセスの更新

20.04.2のリリースにおける問題を踏まえて、ポイントリリースの新しい提供ポリシーが提示されています。最大の違いは「スケジュールよりも安定」を取る方針が明確になったことで、これにより大きなバグが混入したままリリースされる展開を避けられる可能性が大きくなっています。

具体的な差は次の通りです。

これまで：リリースの1週前までproposedポケットを有効にした状態でdailyビルドを生成する。致命的なバグが発見された場合は、リリースまでに力業で間に合わせる。
これから：リリースの2週前までproposedポケットを有効にした状態でdailyビルドを生成する。致命的なバグが発見された場合はバグが修正されたことを確認するまでポイントリリースの提供を遅延させる。

また、この方針によってproposedポケット起因（と推定されるもの）の問題が起きにくくなるため、ポイントリリース前のテストもはかどるようになることが想定されています。

その他のニュース

ある日、誤ってproposedポケットを有効にしていたらちょっと悲惨な目にあった、とあるコア開発者の話もあります。proposedは非常に限られたシチュエーションで、かつ、パッケージを指定する形でのみ有効にするべき特殊なリポジトリです。常時有効にしておくと「ついうっかり」でシステムを壊してしまうことになるため、常時有効にしておくのは絶対にやめましょう[1]⁠。

[1]古い時代においては、proposedは「updatesの先にテストする場所」として使われた時代もありました。現在では「テストしていないパッケージをとりあえず配置する場所」というノリで、以前よりさらに危険に満ちた世界が展開されています。「⁠以前は大丈夫だったので」という理由でproposedを有効にするのは止めた方がいいでしょう。ただし、「⁠Ubuntuに慣れたい」「⁠壊れたシステムを直すのが趣味」「⁠日々の生活に潤いよりも刺激がほしい」といった場合には、proposedポケットからもたらされる未テストのパッケージがひと味違ったUbuntuの利用体験（例：システムアップデートするとおもむろに沈黙する）をもたらしてくれるかもしれません。

今週のセキュリティアップデート

usn-4726-1：OpenJDKのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005882.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。LP#1914824にファイルされている修正を取り込みます。
対処方法：アップデータを適用の上、Javaアプリケーションを再起動してください。

usn-4728-1：snapdのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005883.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-27352を修正します。
悪意あるコンテナから任意のデバイスにアクセスすることが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。また、Ubuntuではsnapd自身により、自動的に更新が適用されています。

usn-4727-1：Linux kernelのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005884.html
Ubuntu 20.10・20.04 LTS用のアップデータがリリースされています。CVE-2021-26708を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-4713-2：Linux kernelのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005885.html
Ubuntu 18.04 LTS・14.04 ESM用のアップデータがリリースされています。CVE-2020-28374を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-4729-1：Open vSwitchのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005886.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-35498を修正します。
悪意あるパケットを送出することで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4730-1：PostSRSdのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005887.html
Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2020-35573を修正します。
悪意ある入力を行うことでDoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4731-1：JUnit 4のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005888.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-15250を修正します。
悪意ある操作を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4733-1：GNOME Autoarのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005889.html
Ubuntu 20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-36241を修正します。
悪意ある操作を行うことで、任意のコードの実行が可能でした。
対処方法：アップデータを適用の上、セッションを再起動（一度ログアウトして再度ログイン）してください。

usn-4732-1：SQLiteのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005890.html
Ubuntu 20.10用のアップデータがリリースされています。CVE-2021-20227を修正します。
悪意ある操作を行うことで、DoS・任意のコードの実行が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4734-1：wpa_supplicant and hostapdのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005891.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-12695, CVE-2021-0326を修正します。
悪意ある通信を送出することで、DoSと任意のコードの実行が可能でした。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-4735-1：PostgreSQLのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005892.html
Ubuntu 20.10・20.04 LTS用のアップデータがリリースされています。CVE-2021-3393を修正します。
悪意ある操作を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
対処方法：アップデータを適用の上、PostgreSQLを再起動してください。

usn-4736-1：Thunderbirdのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005893.html
Ubuntu 20.10用のアップデータがリリースされています。CVE-2020-15685, CVE-2020-26976, CVE-2021-23953, CVE-2021-23954, CVE-2021-23960, CVE-2021-23964を修正します。
Thunderbird 78.7.1のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、Thunderbirdを再起動してください。

usn-4734-2：wpa_supplicant and hostapdのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005894.html
Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2020-12695, CVE-2021-0326を修正します。
usn-4734-1の14.04 ESM用パッケージです。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-4737-1：Bindのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005895.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-8625を修正します。
悪意ある操作を行うことで、DoS・任意のコードの実行が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4738-1：OpenSSLのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005896.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2021-23840, CVE-2021-23841を修正します。
悪意ある操作を行うことで、DoSが可能でした。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-4739-1：WebKitGTKのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005897.html
Ubuntu 20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-13558を修正します。
悪意あるWebサイトにおいて、XSS・DoS・任意のコードの実行が可能でした。
対処方法：アップデータを適用の上、WebKitGTKを利用しているソフトウェアを再起動してください。

usn-4741-1：Jacksonのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005898.html
Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-15095, CVE-2017-7525, CVE-2019-10172を修正します。
悪意ある操作を行うことで、任意のコードの実行が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4740-1：Apache Shiroのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005899.html
Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-11989, CVE-2020-1957を修正します。
悪意あるリクエストを送出することで、認証の迂回が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4742-1：Djangoのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005900.html
Ubuntu 20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-23336を修正します。
悪意あるリクエストを送出することで、Webキャッシュポイゾニングが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4743-1：GDK-PixBufのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005901.html
Ubuntu 20.10・20.04 LTS用のアップデータがリリースされています。CVE-2021-20240を修正します。
悪意ある操作を行うことで、DoSが可能でした。
対処方法：アップデータを適用の上、セッションを再起動（一度ログアウトして再度ログイン）してください。

usn-4744-1：OpenLDAPのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005902.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2021-27212を修正します。
悪意ある操作を行うことで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4467-3：QEMUの再アップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005903.html
Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。
usn-4467-1に含まれていたLP#1914883を修正します。
対処方法：アップデータを適用の上、QEMU仮想マシンを再起動してください。