Ubuntu Weekly Topics

2021年12月10日号 jammyの開発,Ubuntu Accomplishmentsの復活,Ubuntu 21.04のサポート終了予定

この記事を読むのに必要な時間:およそ 5 分

jammyの開発

感謝祭のシーズンが終わり,いわゆるホリデーシーズンになりました。⁠大きな変更」が投入される時期で,予定されていたOpenSSL3へのトランジションの準備が開始されています。この変更は直接的な利用には影響しないものの,⁠OpenSSL3にシフトした瞬間に,一気に大量のアップデートがやってくる」という作用をもたらします。jammy(22.04)を現時点で利用しているような場合,いろいろなものが一気に壊れる可能性に注意する必要があるでしょう。

さらに,initramfsの圧縮方式の変更も議論が進められており,騒がしいクリスマスになりそうな気配が漂っています。

Ubuntu Accomplishmentsの復活

長らくメンテナンスされていない状態になっていたUbuntu AccomplishmentsがFlutterとDartで書き直されてSnapパッケージになって復活しました。一般的には「ゼロから書き直した」と表現されそうな『復活』である一方,⁠以前の機能を同じように実現している」ということで,Flutterを用いて何かを作りたい場合の良質なサンプルになりそうです。

Ubuntu 21.04のサポート終了予定

Ubuntu 21.04のサポート終了が来年1月20日に迫ってきました

サポートが終了するということは「どのような問題が起きた場合にもアップデータが提供されなくなる」ということで,現在21.04を利用している場合,速やかに22.10にアップデートする必要があります。⁠サポート期間終了後にサポートを受けるにはどうすればいいですか」⁠サポートが終了しても安全に使える方法はありますか」といった特殊な性癖をあらわにするような相談をコミュニティに持ちかけたりするのはやめましょう(実話⁠⁠。その時間でアップグレードを検討する方が建設的です。

その他のニュース

  • Ubuntu 20.04.4のリリース時期が,2週延期になりました。20.04.4のリリース予定日は2022年2月24日となります。
  • 「Ubuntu(や,Linuxデスクトップ)を始めて使う人向け」の,⁠ゲームのためのランチャー⁠⁠,Gamebuntuについて。なお名前に反してUbuntu公式のものではなく,現時点では「ネーミングが変わる可能性があるなにか」という位置づけです。
  • ppc64elアーキテクチャの前提条件がPOWER9なりました。また,すでにリリースが停止されて久しいpowerpcアーキテクチャ(32bit PPC)Launchpad側のbuilderが停止されることになりました。

今週のセキュリティアップデート

usn-5154-1:FreeRDPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-November/006287.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。 CVE-2021-41159, CVE-2021-41160を修正します。
  • 悪意ある入力を行うことで,メモリ破壊を伴うクラッシュを誘発することが可能でした。潜在的な任意のコードの実行とDoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5155-1:BlueZのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-November/006288.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-3658, CVE-2021-41229, CVE-2021-43400を修正します。
  • デバイスの電源投入時に,本来discoverableであることが期待されない状況でもdiscoverableな状態になってしまっていました。また,悪意ある入力を行うことでDoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5156-1:ICUのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-November/006289.html
  • Ubuntu 21.04・20.04 LTS用のアップデータがリリースされています。CVE-2021-30535を修正します。
  • 特定の状況でdouble freeが生じることがありました。潜在的な任意のコードの実行と,DoSが可能です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5158-1:ImageMagickのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-November/006290.html
  • Ubuntu 18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2021-20244, CVE-2021-20246, CVE-2021-20309, CVE-2021-20312, CVE-2021-20313を修正します。
  • 悪意ある加工を施したファイルを処理させることでDoSが可能でした。また,特定の状況でメモリ上にあるデータを漏出してしまう場合がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5161-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006291.html
  • Ubuntu 21.04・20.04 LTS用のアップデータがリリースされています。CVE-2021-3655, CVE-2021-3744, CVE-2021-3764, CVE-2021-42252を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-5162-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006292.html
  • Ubuntu 21.10・20.04 LTS用のアップデータがリリースされています。CVE-2021-3655, CVE-2021-3744, CVE-2021-3764, CVE-2021-42252, CVE-2021-43057を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-5163-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006293.html
  • Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。 CVE-2021-3655, CVE-2021-37159, CVE-2021-3744, CVE-2021-3764を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-5164-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006294.html
  • Ubuntu 18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。 CVE-2021-37159, CVE-2021-3744, CVE-2021-3764を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-5165-1:Linux kernel (OEM)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006295.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2021-3760, CVE-2021-3772, CVE-2021-42327, CVE-2021-42739, CVE-2021-43056, CVE-2021-43267, CVE-2021-43389を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-5168-1, usn-5168-3, usn-5168-4:NSSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006296.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006298.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006309.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。 CVE-2021-43527を修正します。
  • 悪意ある加工を施したDSA/RSA-PSS署名を処理させることで,メモリ破壊を伴うクラッシュが発生する場合がありました。潜在的な任意のコードの実行・DoSが可能です。
  • アップデータを適用の上,NSSを利用するアプリケーションを再起動してください。
  • 備考:usn-5168-3にはSSL接続が切断される問題があったため,usn-5168-4がリリースされています。
usn-5168-2:Thunderbirdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006297.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-43527を修正します。
  • usn-5168-1の修正のThunderbird向けバージョンです。
  • 対処方法:アップデータを適用の上,Thunderbirdを再起動してください。
usn-5174-1, usn-5174-2:Sambaのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006299.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006303.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2016-2124, CVE-2020-25717, CVE-2020-25722, CVE-2021-3671を修正します。
  • 悪意ある入力を行うことで,平文認証の強制・権限昇格・DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
  • 備考:CVE-2020-25717の修正により,既存の状態と振る舞いが変わる要素があります。動作について確認の上で適用してください。また,複数バグが存在していたため,usn-5174-2として修正版がリリースされています。
usn-5171-1:Long Range ZIPのセキュリティアップデート
usn-5173-1:libmodbusのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006301.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2019-14462, CVE-2019-14463を修正します。
  • 悪意ある入力を行うことで,少なくともDoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5172-1:uriparserのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006302.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-19198, CVE-2018-19199, CVE-2018-19200, CVE-2018-20721を修正します。
  • 悪意ある入力を行うことで,DoS・本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5170-1:MariaDBのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006304.html
  • Ubuntu 21.10・21.04・20.04 LTS用のアップデータがリリースされています。  CVE-2021-35604を修正します。
  • 一定の権限を持つユーザーにより,データの改竄・DoS等が可能でした。
  • 対処方法:アップデータを適用の上,MariaDBを再起動してください。
usn-5178-1:Djangoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006306.html
  • Ubuntu 21.10・21.04・20.04 LTS用のアップデータがリリースされています。CVE-2021-44420を修正します。
  • 悪意ある加工を施したURLを処理させることで,アクセス制御を迂回することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5179-1:BusyBoxのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006307.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-28831, CVE-2021-42374, CVE-2021-42378, CVE-2021-42379, CVE-2021-42380, CVE-2021-42381, CVE-2021-42382, CVE-2021-42384, CVE-2021-42385, CVE-2021-42386を修正します。
  • 悪意ある加工を施したアーカイブまたはawkパターンを処理させることで,メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5180-1:Mailmanのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-December/006308.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2021-44227を修正します。
  • 認証されたユーザーが,トークンによる他のユーザーのCSRF抑止を迂回することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

バックナンバー

Ubuntu Weekly Topics

バックナンバー一覧