Ubuntu Weekly Topics

CanonicalのAcademy Software Foundationへの参加・Ubuntu 23.04(lunar)開発とHacker NewsでのUbuntu Pro関連の混乱

CanonicalのAcademy Software Foundationへの参加

Canonicalが、Academy Software FoundationASWFのプレミアメンバーになったことを発表しています。ASWFはLinux FoundationとAcademy of Motion Picture Arts & Sciences ⁠AMPAS; 映画芸術科学アカデミー[1]⁠)によって設立された「映画を作るために利用されるソフトウェア」や技術協力を行うための団体です。この団体にはIT系の各種テクノロジー企業やディズニー、Netflix、ドリームワークスなどのコンテンツ企業などが協賛しており、映画(や、その隣接領域となるメディア)を作成するためのソフトウェアの開発などを支援していま[2]

プレスリリースの記載では「Canonical is taking a major step towards empowering visual effects creatives across the entertainment vertical.」⁠Canonicalは、エンターテインメント業界におけるヴィジュアルエフェクト制作をより支援するための確かな一歩を踏み出します)といった記載があり、もともと実績のあるCGやSFX効果のレンダリング等への対応が示唆されています。

これそのものがUbuntuの使い勝手を変えるような性質のものではありませんが、⁠あの映画やアニメの裏ではUbuntuが使われている」といった機会が増えるかもしれません。

lunar(Ubuntu 23.04)の開発とHacker NewsでのUbuntu Pro関連の混乱

新しいインストーラーの各種メニューが選べなかったり(あるいは選べるものの何も起きなかったり)もうちょっとで開発版では音が出なくなりそうになったり(Debianのexperimentalにはヒットした⁠⁠、あるいは開発とは関係ないものの、Hacker Newsでは「Ubuntu Proが出たら有償版じゃないとセキュリティアップデートができなくなったんだけど!?」などという純度100%の誤解スレッドが発生したり、といった出来事が起きつつ、glibc 2.37への移行の準備が進められています。

⁠有償版じゃないとセキュリティアップデートができなくなったんだけど!?」問題について、そのやりとりの内容は「このパッケージのセキュリティアップデートを受け取るにはUbuntu Proが必要だって出てきたんだけど」⁠それもともとuniverseに属するパッケージなので、これまではセキュリティアップデートがベストエフォートでしか提供されてなかったやつだね」というものです。これはUbuntuを利用する上では、⁠よくある」誤解です。ユーザー視点では、⁠これまで気付いていなかった、universeに属するソフトウェアはある意味自己責任という特性に、Ubuntu Proを使うことで初めて気付く」という機会が増え、universeの仕様があらためて『発見』されて混乱した、という構図と言えるでしょう。⁠あくまで無償の範囲で、必要に応じたパッケージの作成によるコミュニティへの還元は行わない」といった運用方針でUbuntuを利用する場合はmainリポジトリだけで構成しておくことを検討しましょう。

その他のニュース

今週のセキュリティアップデート

usn-5835-1:Cinderのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007062.html
  • Ubuntu 22.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2022-47951を修正します。
  • 悪意ある加工を施したファイルを処理させることで、本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:アップデータを適用の上、Cinderを再起動してください。

usn-5834-1:Apache HTTP Serverのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007063.html
  • Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2006-20001, CVE-2022-36760を修正します。
  • mod_davに悪意ある入力を行うことで、DoSが可能でした。また、mod_proxy_ajpにリクエストスマグリング攻撃が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-5836-1:Vimのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-January/007064.html
  • Ubuntu 16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2022-47024, CVE-2023-0049, CVE-2023-0054, CVE-2023-0288, CVE-2023-0433を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-4781-2:Slurmのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007065.html
  • Ubuntu 16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2016-10030, CVE-2018-10995を修正します。
  • usn-4718-1の16.04 ESM・14.04 ESM用パッケージです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-5837-1, usn-5837-2:Djangoのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007066.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007069.html
  • Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2023-23969を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-5839-1, usn-5839-2:Apache HTTP Serverのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007067.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007070.html
  • Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2006-20001, CVE-2022-36760, CVE-2022-37436を修正します。
  • mod_davに悪意ある入力を行うことで、DoSが可能でした。また、mod_proxy_ajpにリクエストスマグリング攻撃が可能でした。これらとは別に、mod_proxyが本来期待されない形でヘッダの短縮を行っていたため、ヘッダによるセキュリティ制御が機能しない可能性がありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-5838-1:AdvanceCOMPのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007068.html
  • Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2022-35014, CVE-2022-35015, CVE-2022-35016, CVE-2022-35017, CVE-2022-35018, CVE-2022-35019, CVE-2022-35020を修正します。
  • 悪意ある加工を施したファイルを処理させることで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-5840-1:Long Range ZIPのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007071.html
  • Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2018-5786, CVE-2020-25467, CVE-2021-27345, CVE-2021-27347, CVE-2022-26291, CVE-2022-28044を修正します。
  • 悪意ある加工を施したファイルを処理させることで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-5841-1:LibTIFFのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007072.html
  • Ubuntu 16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2019-14973, CVE-2019-17546, CVE-2020-35523, CVE-2020-35524, CVE-2022-3970, CVE-2022-48281を修正します。
  • 悪意ある加工を施したファイルを処理させることで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-5816-2:Firefoxの再アップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007073.html
  • Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。
  • Firefox 109.0.1のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上、Firefoxを再起動してください。

usn-5825-2:PAMの再アップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007074.html
  • Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。
  • usn-5825-2で発生した問題を修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-5824-1:Thunderbirdのセキュリティアップデート

usn-5842-1:EditorConfig Core Cのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007076.html
  • Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2023-0341を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-5843-1:tmuxのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-February/007077.html
  • Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2022-47016を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧