hirsuteの開発・Kernel FreezeとラストQA

hirsute（21.04）の開発は無事にベータがリリースされ、リリースノートもある程度埋まり、そして各種フレーバーについてもテストが呼びかけられている（Kubuntu、Lubuntu、Ubuntu Studioなどなど）状態です。

さらにKernel Freezeが行われ、最後のQA（と、QAで見つかったバグの修正）が始まることになります。ここからはカーネルや周辺パッケージにクリティカルなバグが見つからない限りはそのままのバージョンが維持されます（たとえばセキュリティパッチであっても、リリース後の適用に回されることになります⁠）⁠。

その他のニュース

• Ubuntuの初回起動時に表示される、「⁠お勧めのアプリケーションを紹介する画面」を、そろそろ更新できるといいかもしれないよね、という議論が開始されています。21.04でも18.04 LTSと同じものが投入されていて、これはこれで問題ないけど、そろそろ更新したほうがいいかもしれないよね、という方向の議論なので、少なくとも21.04に投入される可能性は皆無ですが、何かしら推奨アプリケーションの候補がある場合は議論に参加してみてはいかがでしょうか。
• ROS（Ubuntuをコアにした、Robot向けの機能をまとめたOS）向けのESMの適用についてのガイドがリリースされています。
• RAPIDSを使って、Ubuntu上のマシンラーニング環境を10分で構成する方法。

今週のセキュリティアップデート

usn-4896-1：lxmlのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-March/005954.html
• Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2021-28957を修正します。
• 悪意ある加工を施したHTMLを用いることで、サニタイザを迂回する形でのXSSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4898-1：curlのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-March/005955.html
• Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2021-22876, CVE-2021-22890を修正します。
• ヘッダに含まれるクレデンシャル情報を適切にクリーンアップしていませんでした。また、HTTPS Proxyを利用している場合に、適切にセッションテキストを扱っていなかったため、MiTMが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4899-1：SpamAssassinのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-April/005956.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-1946を修正します。
• 悪意ある加工を施したCFファイルを処理させることで、任意のコードの実行が可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4900-1：OpenEXRのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-April/005957.html
• Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2021-3474, CVE-2021-3475, CVE-2021-3476, CVE-2021-3477, CVE-2021-3478, CVE-2021-3479を修正します。
• 悪意あるファイルを処理させることで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行に繋がると考えられます。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。