gihyo.jpサイトのロゴ

Ubuntu Weekly Topics

2022年7月8日号21.10のEOLに向けた取り組み、各リリースにおけるいろいろな取り組み

2022-07-08

21.10のEOLに向けた取り組み

Ubuntu 21.10(impish)は、7月14日にEOLを迎えます。EOL後にはどのようなクリティカルなバグに対してであっても、修正はリリースされません。……という前提を踏まえて、少し珍しい呼びかけが行われています。具体的には現在まだunverifiedステータスで保留されているパッケージについて、重要なものは速やかに確認してほしいというものです。

この発言の意味を理解するために、⁠Ubuntuではどのようなプロセスで修正パッケージが導入されるか」という点を簡単に見ていきましょう。

まず、Ubuntuにおける「リリースされた特定のバージョン」への修正パッケージの配布は、SRU(Stable Release Update)と呼ばれるポリシーに基づいて行われます。このプロセスには「更新版として投入されるパッケージが既存の機能を壊さない」ということを保証するためのいくつかの条件とともに、⁠リリースする前に、修正を意図するバグが実際に直っていること』⁠verification)を挟むことが定義されています。言い換えると、すでにバグが修正されたパッケージ候補が存在しても、⁠実際に直っている」⁠+何かを壊したりしない)ということが誰かが確認するまでリリースできないことを意味します(つまり、パッケージ開発者の一存ではリリースできません⁠⁠。

今回問題となっているものはこの「誰かが確認するまでリリースできない」というパッケージが、EOL前のimpishに一定数残ってしまっていることを意味します[1]⁠。絶妙に厄介な状態ではあるものの、もしも21.10を利用していて「このバグが直らないと困る!」というものが存在する場合は、修正パッケージを滑り込みでリリースに持ち込める最後のチャンスです。必要なパッケージが存在しないか確認しておくと良いかもしれません。

その他のニュース

  • 22.04で機能が大幅に拡張された、ADSysで実現できるActive Directory連携機能について。今回はActive Directoryに登録された情報を用いてユーザー管理を実現できる、そしてグループポリシー経由で特定のスクリプトをスケジュール実行できる、というものです[2]⁠。
  • 「Sushi」⁠Gnomeで利用されるNautilus用のファイルプレビューアプリケーション)をDesktopではデフォルトでインストールしよう、というチャレンジ。現在のリリースでは作業が大量に存在するため23.04に延期という方向になっています。
  • 22.04(jammy)用に、Aquantic製10GbEデバイスのドライバの追加が行われています。Red Hat方面の情報を見ると一年前に対応が済んでおり、そこまで新しいチップというわけではなさそうなので、この作業そのものにはそこまで強い意味はなさそうです。……しかしながら、このドライバの導入の背景として、「for an IoT project」などという説明が行われています。この記載が正しいのだとすれば、⁠10GbEで動作するIoTデバイス」という、少しだけ興味深いものが出てくることになりそうです(⁠⁠10GbEで接続されるIoT向けのデータ収集用組込ハードウェア」といったものが出てくる可能性があります⁠⁠。
  • 近いタイミング発売が開始されるであろうZBook Studio G9LEDが正しく表示されない問題を修正するパッチ。ポイントは「まだそこまで出回っていないデバイスの」⁠比較的ささいな修正が」⁠積極的なペースで行われている」ということです。OEMカーネルのための作業が着実に行われていることが分かります。

今週のセキュリティアップデート

usn-5487-1, usn-5487-2, usn-5487-3:Apache HTTP Serverのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-June/006637.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-June/006641.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-June/006642.html
  • Ubuntu 22.04 LTS・21.10・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。
  • 悪意ある操作を行うことで、DoS・本来秘匿されるべき情報へのアクセス・リクエストスマグリング・メモリ破壊を伴うクラッシュの誘発が可能でした。CVE-2022-26377, CVE-2022-28614, CVE-2022-28615, CVE-2022-29404, CVE-2022-30522, CVE-2022-30556, CVE-2022-31813を修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5489-1:QEMUのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-June/006638.html
  • Ubuntu 22.04 LTS・21.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-3507, CVE-2021-3929, CVE-2021-4206, CVE-2021-4207, CVE-2022-0358, CVE-2022-26353, CVE-2022-26354を修正します。
  • 悪意ある操作を行うことで、DoS・任意のコードの実行・権限昇格が可能でした。
  • 対処方法:アップデータを適用の上、仮想マシンを再起動してください。
usn-5488-1:OpenSSLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-June/006639.html
  • Ubuntu 22.04 LTS・21.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-2068を修正します。
  • c_rehashの実行中に悪意ある操作を行うことで、任意のコードの実行が可能でした。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
usn-5491-1:Squidのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-June/006640.html
  • Ubuntu 22.04 LTS・21.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-46784を修正します。
  • 悪意ある操作を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5492-1:Vimのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-June/006643.html
  • Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2022-2042を修正します。
  • 悪意ある加工を施したファイルを処理させることで、クラッシュの誘発が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5493-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-June/006644.html
  • Ubuntu 21.10・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2022-28388を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-5494-1:SpiderMonkey JavaScript Libraryのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-June/006645.html
  • Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2022-28285, CVE-2022-31740, LP#1976260, LP#1978961を修正します。
  • 悪意ある操作を行うことで、DoS・本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:アップデータを適用の上、SpiderMonkeyを利用するアプリケーションを再起動してください。
usn-5495-1:curlのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-June/006646.html
  • Ubuntu 22.04 LTS・21.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-32205, CVE-2022-32206, CVE-2022-32207, CVE-2022-32208を修正します。
  • 悪意ある操作を行うことで、DoS・MitMが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-June/006647.html
usn-5496-1:cloud-initのセキュリティアップデート
  • Ubuntu 22.04 LTS・21.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-2084を修正します。
  • スキーマエラー時にパスワードハッシュをログに出力することがありました。
  • 対処方法:通常の場合、アップデータを適用することでログへの出力を抑制できます。すでにログにパスワードハッシュが出力されている場合はログからの除去が必要です。
usn-5497-1:Libjpeg6bのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-June/006648.html
  • Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2018-11212, CVE-2018-11213, CVE-2018-11214, CVE-2018-11813, CVE-2020-14152を修正します。
  • 悪意ある加工を施したファイルを処理させることで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5498-1:Vimのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-June/006649.html
  • Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2022-0413, CVE-2022-1629, CVE-2022-1733, CVE-2022-1735, CVE-2022-1785, CVE-2022-1796, CVE-2022-1851, CVE-2022-1898を修正します。
  • 悪意ある加工を施したファイルを処理させることで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能です。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5499-1:curlのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-July/006650.html
  • Ubuntu 16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2022-27781, CVE-2022-32208を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。また、FTR-KRBを用いる場合にMiTMが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5485-2:Linux kernel (OEM)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-July/006651.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2022-21123, CVE-2022-21125, CVE-2022-21166を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。また、Intel製プロセッサを利用している場合は最新のマイクロコードアップデートを併用してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-5493-2:Linux kernel (HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-July/006652.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2022-28388を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-5500-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-July/006653.html
  • Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2021-4197, CVE-2021-4202, CVE-2022-1353, CVE-2022-1419, CVE-2022-1652, CVE-2022-1679, CVE-2022-1734, CVE-2022-28356を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-5501-1:Djangoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-July/006654.html
  • Ubuntu 22.04 LTS・21.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-34265を修正します。
  • 悪意ある入力を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5479-2:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-July/006655.html
  • Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2022-31625, CVE-2022-31626を修正します。
  • usn-5479-1の16.04 ESM用パッケージです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧