Ubuntu 14.04・16.04 ESMの延長

Ubuntuの「ESM」がすべてのリリースについて+5年になりました。

UbuntuのLTSリリース（5年サポートのリリース）には，「⁠ESM」（⁠Extended Security Maintenance）と呼ばれる「サポートが終了してからの追加のセキュリティアップデータの適用」プログラムが準備されています。これはサポート終了から3年（14.04と16.04）ないし5年（18.04・20.04）の間，クリティカルなセキュリティ修正を継続して提供するというものでした（合計で8年もしくは10年のサポートでした⁠）⁠。

……リリースごとにサポート期間が異なる点がやや複雑さを作り出してしまっていたのですが，「⁠3年」だった14.04と16.04のESMが「+5年」に延長されることになります。これにより，あと半年ほどでESMを含めたサポート期限が切れる14.04が，あと2年ほど延命されます。

ESMを利用する上で知っておくべきことは次の通りです。

• まず，Ubuntuにおいて，Canonicalの「サポート」の対象となるのは，「⁠main」に属するパッケージだけです。universe・multiverse・restrictedに属するパッケージはコミュニティによるサポートのみが提供されます。これはESMでも同様で，「⁠main」以外のパッケージは原則として対応されないと想定しておく必要があります。
• ESMの利用には，原則としてUbuntu AdvantageもしくはUbuntu Proのサブスクリプション契約が必要です（注1⁠）⁠。個人利用の場合，3台までであれば無償で利用できます。
• ESMの対象となるアーキテクチャやソフトウェアコンポーネントは，リリースごとに微妙に異なる場合があります。
• 修正の対象はあくまで「セキュリティアップデート」であり，バグフィックス等は提供されません。RHELのELS等，クリティカルなバグへの修正が提供されるサービスとは異なります。この種のメンテナンスサービスはサービスごとに特性が異なるため，うかつに他のサービスから推定したりすることは止めましょう（注2⁠）⁠。

注1

Ubuntu Advantageの価格についてはこちらのページを参照してください。Ubuntu Proは各種クラウドサービス上で利用できるマシンイメージです。

注2

また，おもむろにコミュニティに「Ubuntu Advantageの買い方を教えてください！ 急いでいるから明日まで！」とかいうメールを送り付けてくるそこの購買担当の方，そろそろ真剣に情報や問い合わせ先の管理方法をご検討ください（複数社⁠）⁠。御社からのお問い合わせに同じテンプレートでお返しするという作業を定期的に行っており，毎回末尾に「前回も同じ回答をお知らせしています」と書き加えるという，なかなかに不毛な作業を継続して行っています。

Ubuntu 18.04.6のリリース

18.04 LTSの「エクストラ」ポイントリリース，18.04.6がリリースされました。18.04.6のリリースの経緯はこちらを参照してください（注3⁠）⁠。すでに18.04を利用している場合，アップデートするだけでほぼ同等の環境を作ることができます。一方，新規にSecureBootを前提としてインストールする場合はこのメディアを利用する必要があるでしょう。

注3

なお，いまひとつ明確になっていなかった「なぜリリースするのか」という部分についてはBootHole対策であることが明示されています。

その他のニュース

• Ubuntuの多国籍カンファレンス，UbuCon Asia 2021がこの週末（9月25日，26日）に開催されます。
• impishの開発がBeta Freezeに入りました。……入りましたが，このタイミングでFirefoxがSnapパッケージに切り替わる予定となっています（注4⁠）⁠。

注4

このタイミングなので当然Feature Freeze Exceptionを伴う形でプロセスされています。

今週のセキュリティアップデート

usn-5077-1, usn-5077-2：Apportのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006184.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006185.html
• Ubuntu 21.04・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2021-3709, CVE-2021-3710を修正します。
• 悪意ある操作を行うことで，本来読み取りできないファイルを読み取る用途に悪用することが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-5078-1, usn-5078-2：Squashfs-Toolsのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006186.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006189.html
• Ubuntu 21.04・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2021-41072を修正します。
• 悪意ある加工を施したファイルを処理させることで，任意のファイルの上書きが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-5079-1, usn-5079-2：curlのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006187.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006188.html
• Ubuntu 21.04・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2021-22945, CVE-2021-22946, CVE-2021-22947を修正します。
• MQTTの処理コードにおいて，メモリ破壊を伴うクラッシュを誘発することが可能でした。また，TLSの利用時にダウングレード攻撃・MiTMが可能な場合がありました。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-5080-1, usn-5080-2：Libgcryptのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006190.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006191.html
• Ubuntu 21.04・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2021-33560, CVE-2021-40528を修正します。
• 悪意ある入力を行うことで，ElGamalを利用している際にクラッシュが生じることがありました。本来秘匿されるべき情報へのアクセスに利用できる可能性があります。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-5081-1：Qtのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006192.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2020-17507, CVE-2021-38593を修正します。
• 悪意ある加工を施したファイル・悪意ある入力を処理させることでDoSが可能でした。
• 対処方法：アップデータを適用の上，セッションを再起動（一度ログアウトして再度ログイン）してください。

usn-5082-1：Linux kernel (OEM)のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006193.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2021-3609, CVE-2021-3653, CVE-2021-3656を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため，通常はそのままアップデートの適用を行えば対応できます。

usn-5071-2：Linux kernel (HWE)のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006194.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2020-36311, CVE-2021-22543, CVE-2021-3612, CVE-2021-3653, CVE-2021-3656用のアップデータがリリースされています。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため，通常はそのままアップデートの適用を行えば対応できます。

usn-5083-1：Pythonのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006195.html
• Ubuntu 16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2021-3733, CVE-2021-3737を修正します。
• 悪意あるサーバーに接続した場合，DoSを誘発される場合がありました。
• 対処方法：アップデータを適用の上，システムを再起動してください。

usn-5073-2：Linux kernel (GCP)のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006196.html
• Ubuntu 18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2021-34693, CVE-2021-3612, CVE-2021-3653, CVE-2021-3656, CVE-2021-38160を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため，通常はそのままアップデートの適用を行えば対応できます。