Ubuntu ProのGA

Ubuntuの有償サブスクリプションサービスである『Ubuntu Pro』がGAしました。ベータ提供のときと大きく機能面では変わらないものの、各種ユーティリティの完成度、あるいはサポート的な面で「安心して」利用できるという点が違いとなります。

Ubuntu Proは以前Ubuntu Advantageと呼ばれていた有償サブスクリプションサービスで、通常の5年間に加え、さらに追加の5年間（つまり合計10年）のサポート、mainリポジトリだけでなくuniverseリポジトリのパッケージへのセキュリティアップデート、そしてFIPSなどの各種認証への対応と技術サポートサービス、Landscapeによるシステム管理機能などを提供するものです。これまでは各種クラウド上の専用イメージ経由で利用できていましたが、オンプレミス環境やワークステーション、場合によっては個人のデスクトップ環境などにも適用できるようになりました。

一方、Ubuntu Proのリリース後も、無料のUbuntuの5年間のサポート（と、Main部分のソフトウェア更新の提供）はこれまで通り利用できます。商用ワークロードにUbuntu Proが必須といった制約は存在しません[1]。「⁠Ubuntu Pro」という新しい、別の選択肢が加わった（そして、必要に応じてUbuntuから切り替えることもできる）と考えておくのが安全です。

23.04（lunar）の開発 / Ruby 3.1とGolang 1.20への切り替え

23.04（lunar）の開発は予定されていたRuby 3.1への切り替えが開始されています。裏ではGolang 1.20への切り替えの準備も進められており、これらの言語系を利用している場合は注意が必要となるでしょう。

これらの横ではDebianからの自動インポート（auto-sync）が止まっていたり、開発シーズンにはよく見られるいろいろな出来事が発生しています。

なおこの後にはglibc 2.37、LLVM 16の投入など、比較的大きな変更が予定されており、まだまだ変化の激しいシーズンであると言えそうです。一方で、テストを始めるには最適なタイミングでもあり、変更の確認や既存のソフトウェアの動作確認をするのであれば今とも言えるでしょう。

その他のニュース

• Ubuntu 22.04.2のリリース時期が予定より2週間遅れの2月23日になりました。カーネルの更新とセキュアブート用のshimの調整に時間を要するためです[2]。
• Telegram[3]のsnap版をlunar（23.04）だけでなく、既存のリリースにもバックポートするべきではという議論。

今週のセキュリティアップデート

usn-5806-1：Rubyのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007026.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007042.html
• Ubuntu 22.10・22.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2021-33621を修正します。
• CGI gemにおいて、悪意ある入力を行うことでヘッダインジェクションが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5809-1 Linux kernel (OEM)：のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007027.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2022-42896, CVE-2022-4378, CVE-2022-45934を修正します。
• 対処方法：アップデータを適用の上、システムを再起動してください。
• 備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5808-1 Linux kernel (IBM)：のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007028.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2022-3643, CVE-2022-42896, CVE-2022-43945, CVE-2022-45934を修正します。
• 対処方法：アップデータを適用の上、システムを再起動してください。
• 備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5807-1：libXpmのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007029.html
• Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-44617, CVE-2022-46285, CVE-2022-4883を修正します。
• 悪意ある加工を施したファイルを処理させることで、DoSが可能でした。また、ヘルパーバイナリの呼び出しに問題があり、権限昇格に悪用できる可能性がありました。
• 対処方法：アップデータを適用の上、セッションを再起動（一度ログアウトして再度ログイン）してください。

usn-5810-1, usn-5810-2：Gitのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007030.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007034.html
• Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-23521, CVE-2022-41903を修正します。
• 悪意ある加工を施したリポジトリを処理させることで、任意のコードの実行・DoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。
• 備考：当初の修正には問題があったため、usn-5810-2として20.04 LTS・18.04 LTS用のアップデータが改めてリリースされています。

usn-5811-1, usn-5811-2：Sudoのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007031.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007032.html
• Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2022-33070, CVE-2023-22809を修正します。
• sudoeditが呼び出されるタイミングに悪意ある操作を行うことで、任意のバイナリを実行することが可能でした。また、悪意ある操作を行うことで、DoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5812-1：urllib3のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007033.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2021-33503を修正します。
• 悪意ある加工を施したURLを処理させることで、DoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5814-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007035.html
• Ubuntu 22.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2022-3643, CVE-2022-42896, CVE-2022-4378, CVE-2022-45934を修正します。
• 対処方法：アップデータを適用の上、システムを再起動してください。
• 備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5813-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007036.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2022-3643, CVE-2022-42896, CVE-2022-43945, CVE-2022-45934を修正します。
• 対処方法：アップデータを適用の上、システムを再起動してください。
• 備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5815-1 Linux kernel (BlueField)：のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007037.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2022-20421, CVE-2022-2663, CVE-2022-3061, CVE-2022-3303, CVE-2022-3586, CVE-2022-3646, CVE-2022-39842, CVE-2022-40307, CVE-2022-4095, CVE-2022-43750を修正します。
• 対処方法：アップデータを適用の上、システムを再起動してください。
• 備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5816-1：Firefoxのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007038.html
• Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2023-23597, CVE-2023-23598, CVE-2023-23599, CVE-2023-23601, CVE-2023-23602, CVE-2023-23603, CVE-2023-23604, CVE-2023-23605, CVE-2023-23606を修正します。
• Firefox 109.0のUbuntuパッケージ版です。
• 対処方法：アップデータを適用の上、Firefoxを再起動してください。

usn-5817-1：Setuptoolsのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007039.html
• Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2022-40897を修正します。
• 悪意ある入力を行うことで、DoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5818-1：PHPのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007040.html
• Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-31631を修正します。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5819-1：HAProxyのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007041.html
• Ubuntu 22.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-0056を修正します。
• 悪意ある入力を行うことで、DoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5820-1：exuberant-ctagsのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007043.html
• Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2022-4515を修正します。
• 悪意ある入力を行うことで、任意のコードの実行が可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。