gihyo.jpサイトのロゴ

Ubuntu Weekly Topics

Ubuntu 23.10(mantic)開発/新しいPPA管理手法とOpenSSLバージョンの検討、Ubuntu 18.04のサポート終了とESMサービスの開始

2023-05-19

mantic(Ubuntu 23.10)の開発/新しいPPA管理手法とOpenSSLバージョンの検討

mantic(Ubuntu 23.10)の開発が始まり、早速大きめの更新が行われました。この更新はPPAに関連するもので、リポジトリソースの設定をdeb822形式に変更するというものです。ユーザーから見たメリットは「これまでシステムワイドに導入していたaptの鍵の管理が、設定ファイルに統合され、PPAごとに独立した状態になる」というものです。基本的にはapt-keyの廃止に対応した流れと考えておくと良いでしょう。

ユーザー視点では、⁠複数のPPAを導入したり、あるいは削除したりした場合にも、鍵の設定だけが残留してしまうことがなくなる(PPAの設定を削除すると、鍵も同時に削除される⁠⁠これまでの仕組みでは、ひとつのPPAを導入すると、そのPPAに対応する鍵をシステム全体で『信用した』状態になってしまっていたが、これも解決する」というメリットが得られます。PPAのインストール手順は少しだけ変化することになりますが、⁠画面に表示されている手順に従えばOK」という点では何も変わりません。

また、⁠23.10ではどのバージョンのOpenSSLを利用するべきか」という議論が開始されています。問題提起としては次のようなものです。

  • 現時点において、Ubuntuは3.0を利用している。
  • 現時点で、Debianのリリース版では3.0、experimentalでは3.1が利用されている。
  • OpenSSL 3.1には(3.x系で生じていた)性能劣化に対する対策が行われている(ので、3.1のほうがパフォーマンス観点では優れている⁠⁠。きわめて端的には「3.xは1.x系より遅い」という問題が解決されている。
  • OpenSSL的には3.0はLTSで、3.1よりも長くサポートされる。具体的には3.1は2025年3月、3.0は2026年9月までサポートされる。
  • この先のバージョンは推定するしかないが、⁠おそらく」24.04 LTSのリリースに3.2が間に合い、なおかつそれがLTSである可能性は低い。つまり、24.04 LTSが採用できるOpenSSLは、24.04 LTSのEOLよりも前にサポート期間が終了する。
  • 24.04 LTSについて、もしかすると2バージョンのOpenSSLを乗り継ぐ選択肢もありえるかもしれない。

これに対しての反論は以下のようなものでした。

  • 過去、focalのときにOpenSSLバージョンのアップグレード(1.1.0から1.1.1)をリリース後に投入したが、ちょっとした惨事だった
  • 性能劣化への対策は、OpenSSLのupstreamで修正されるかもしれないし、そうでなければ自力でポートすればよい。
  • よって、少なくともmanticでは3.0を維持しておくのが良いだろう。
  • 24.04 LTSについてもどれかひとつのバージョンだけを使い、同じバージョンを利用している他のディストリビューションと協調してメンテナンスするのが良いと思う。

結論としては「おそらく」24.04 LTSでは「そのリリースに間に合うOpenSSLのLTSリリース」が採用されることになりそうです。

Ubuntu 18.04のサポート終了とESMサービスの開始

Ubuntu 18.04(bionic)のサポート終了(EOL)5月31日に予定されています。サポート終了以降はどのようなバグフィックスやセキュリティ更新も行われないため、自力でパッチを適用してパッケージを管理できるような特異的な例を除き、サポート期間内のバージョンへのアップグレードを検討する必要があります。

このEOLに合わせる形で、Ubuntu Proでは延長サポートサービスであるExtended Security Maintenance(ESM)が開始され、⁠あと5年」のセキュリティ更新が提供されることになります。Ubuntu Proは有償サブスクリプションの購入サービスの形で提供され、利用には契約が必要になります[1]。どうしてもアップグレードが困難である場合はこちらへの切り替えを考えると良いでしょう。

今週のセキュリティアップデート

usn-6062-1:FreeTypeのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007331.html
  • Ubuntu 23.04・22.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-2004を修正します。
  • 悪意ある加工を施したファイルを処理させることで、メモリ破壊を伴うクラッシュを誘発することが可能でした。理論的な任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6063-1:Cephのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007332.html
  • Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-3979, CVE-2022-0670, CVE-2022-3650, CVE-2022-3854
  • 悪意ある入力を行うことで、ランダム性の不足する鍵を生成させること、ファイルシェアの認証の迂回・特権昇格・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6065-1:css-whatのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007333.html
  • Ubuntu 20.04 ESM・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2021-33587, CVE-2022-21222を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6066-1:OpenStack Heatのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007334.html
  • Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2023-1625を修正します。
  • 悪意ある入力を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6067-1:OpenStack Neutronのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007335.html
  • Ubuntu 22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-20267, CVE-2021-38598, CVE-2021-40085, CVE-2021-40797, CVE-2022-3277を修正します。
  • 悪意ある操作を行うことで、IPv6アドレスの偽装・MACアドレスの偽装・dnsmasqの再設定・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6068-1:Open vSwitchのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007336.html
  • Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2023-1668を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6064-1:SQL parseのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007337.html
  • Ubuntu 23.04・22.10・22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2023-30608を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6070-1:Linux kernelのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007338.html
  • Ubuntu 22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-1829, CVE-2023-1872を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6071-1:Linux kernel (OEM)のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007339.html
  • Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2022-2590, CVE-2022-3303, CVE-2022-3586, CVE-2022-40307, CVE-2022-4095, CVE-2022-4662, CVE-2023-0386, CVE-2023-0468, CVE-2023-1829, CVE-2023-1859, CVE-2023-23455, CVE-2023-26545を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6069-1:Linux kernel (Raspberry Pi)のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007340.html
  • Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2023-1829を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6072-1:Linux kernel (OEM)のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007341.html
  • Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2023-0386, CVE-2023-0468, CVE-2023-1829, CVE-2023-1859, CVE-2023-23455, CVE-2023-26545を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6073-4:os-brickのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007342.html
  • Ubuntu 23.04・22.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-2088を修正します。
  • 悪意ある操作を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:アップデータを適用の上、設定変更を行ってください。

usn-6073-1:Cinderのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007343.html
  • Ubuntu 23.04・22.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-2088を修正します。
  • 悪意ある操作を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:アップデータを適用の上、設定変更を行ってください。

usn-6073-2:Glance_storeのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007344.html
  • Ubuntu 23.04・22.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-2088を修正します。
  • 悪意ある操作を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:アップデータを適用の上、設定変更を行ってください。

usn-6073-3, usn-6073-5:Novaのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007345.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007346.html
  • Ubuntu 23.04・22.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-2088を修正します。
  • 悪意ある操作を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:アップデータを適用の上、設定変更を行ってください。
  • 備考:usn-6073-3にはアタッチしたボリュームをデタッチできなくなるバグがあったため、修正版としてusn-6073-5がリリースされています。

usn-6074-1, usn-6074-2:Firefoxのセキュリティアップデート

usn-6075-1:Thunderbirdのセキュリティアップデート

usn-6060-3:MySQLの再アップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007349.html
  • Ubuntu 23.04・22.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。
  • usn-6060-1の修正ではarmhf版に問題が生じていました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6076-1:Synapseのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-May/007351.html
  • Ubuntu 18.04 ESM用のアップデータがリリースされています。CVE-2018-10657, CVE-2018-12291, CVE-2018-12423, CVE-2018-16515, CVE-2019-11842, CVE-2019-18835, CVE-2019-5885を修正します。
  • 悪意ある入力を行うことで、DoS・セッションハイジャック・ユーザーの偽装が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧