Ubuntu Weekly Topics

2022年1月21日号 Ubuntu Security Guide,jammyの開発/test rebuildとOEMリポジトリのケア

この記事を読むのに必要な時間:およそ 3 分

Ubuntu Security Guide

Canonicalから(主にUbuntu ProやAdvantageのユーザー向けに)⁠Ubuntu Security Guide」と名付けられたツールキットがリリースされました。これは,DISA(アメリカ国防情報システム局)STIGCISベンチマーク要件を満たすことができる,⁠セキュアな設定のUbuntu」を実現するためのツールキット(設定をひとまとめにし,簡単に適用できるようにしたもの,というニュアンスの「ツールキット⁠⁠)です。

Ubuntu Security GuideはUbuntu Advantageで利用されるubuntu-advantage-toolsのサブモジュールとして実現されており,CISベンチマークの実施(と,不足点の洗い出しと,準拠した状態への変更)をセルフサービスで実現できます。STIG(Security Technical Implementation Guide; セキュリティ技術実装ガイド。注1の方針は(すでに実現されていた)FIPS準拠と近似しており,⁠UbuntuがSTIGを取れることは分かっていた」という話ではあるのですが,ツールを使って一括で設定でき,カスタマイズ(テーラリング)も可能という点ではUbuntu Serverに便利なツールが加わったと言うことができそうです。

注1
STIGはDISAによって提供されている「高セキュリティ環境でのあたりまえ」を実現するためのガイドライン,という性質のものです。アメリカの政府機関への導入の前提条件になり,また,一定の考慮が行われたものであるという意味では強力な基準ではあるのですが,たとえば「ホワイトハウスで使えるようになった」ということはあまり強く意味しません。あくまで「セキュリティ対応として当たり前の要件」を満たしやすくなるというもので,STIGだけを前面に押し出すと「特技はなんですか?」⁠酸素を使って呼吸できます!」⁠古生代なら凄かったかもしれないんですが,それを特技と言われても……」というようなニュアンスの悲しみに満ちた漫才を発生させるリスクがあります。

jammyの開発/test rebuildとOEMリポジトリのケア

jammyのtest rebuildが開始されています注2⁠。これそのものは特筆すべきイベントではありませんが,22.10を見据えてGCC 12でのビルドが試されているというのがポイントで,開発に参加してみたい「ビルドエラーの解決なら任せろ」というタイプの人にとっては良いチャンスになるはずです注3⁠。

注2
「test rebuild」とは何か,という点については2014年9月19日号を参照してください。当時よりも高頻度に実行されるようになっている程度で,大きな変化はありません。
注3
GCCのバージョンを変更することで壊れるパッケージが一定数発生し,大量の修正作業が発生するためです。ビルドエラーの解決そのものはコンパイラや言語的な理解よりはむしろ依存関係の解決や開発状況の理解といった側面が強いので,いわゆるコーディング力とは異なる属性のスキルが要求されます。コード書きに苦手意識がある場合はチャレンジしてみてはいかがでしょう。

また,20.04 LTSで導入されたOEM向け専用リポジトリ(OEM archive)について,22.04への更新ではどうするべきかという議論が開始されています。状況としては次のものです。

  • 20.04 LTSでは,各社のOEMデバイス(主に特定のラップトップ等の「Ubuntuがプリインストールされた(もしくは専用のインストールイメージがある)デバイス⁠⁠)専用のメタパッケージを導入し,OEM archive経由でそれをアップデートしていることがあった。
  • これはあくまでも「20.04 LTS向け」としてデザインされていた。
  • jammy(22.04 LTS)でOEM archiveをどうするべきか,何か明確なデザインがあったかどうかがあまりさだかではない(もしかすると,ないもしれない⁠⁠。
  • しかし現実として,現在20.04 LTS(+OEM archive)を利用している人が22.04 LTSに問題なく(そして手間なく)アップデートできるようにする必要がある。いったい何が必要なのだろう?
  • もしかして,今あるメタパッケージを単純に22.04 LTS用にリビルドすればいい? そういうもの?

やや不安になる部分もある議論ではありますが,こうした議論が表に出てくるということは一定の健全さの証でもあります。とはいえ(普通のUbuntuを使っているユーザーには関係ないのですが)着地点は気になるところであり,今後が気になるところです。

その他のニュース

今週のセキュリティアップデート

usn-5043-2:Exiv2の再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006342.html
  • Ubuntu 21.10・21.04・20.04 LTS用のアップデータがリリースされています。
  • usn-5043-1に起因して,別条件のDoSの余地がありましたLP#1941752⁠。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5222-1:Apache Log4j 2のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006343.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-44832, CVE-2021-45105を修正します。
  • Log4Shellとともに発見された,限定的な条件でのリモートコード実行とDoSを修正します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5224-1, usn-5224-2:Ghostscriptのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006344.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006349.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2021-45944, CVE-2021-45949を修正します。
  • 悪意ある入力を行うことで,メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5225-1:lxmlのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006345.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2021-43818を修正します。
  • 悪意ある入力を行うことで,任意のコードの実行が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5210-2:Linux kernelの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006346.html
  • Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。usn-5210-1の導入によって,SEVを有効にした環境でブートに失敗する状態に陥っていましたLP#1956575⁠。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-5226-1:systemdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006347.html
  • Ubuntu 21.10・21.04・20.04 LTS用のアップデータがリリースされています。CVE-2021-3997を修正します。
  • 悪意ある操作を行うことで,ローカルユーザーがDoS・不定の動作を誘発することができました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5223-1:Apache Log4j 1.2のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006348.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-4104を修正します。
  • 設定ファイルが編集可能という前提において,DoS・任意のコードの実行が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5227-1, usn-5227-2:Pillowのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006350.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006352.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2021-23437, CVE-2021-34552, CVE-2022-22815, CVE-2022-22816, CVE-2022-22817を修正します。
  • 悪意ある加工を施したファイルを処理させることで,メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5229-1:Firefoxのセキュリティアップデート

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。