Ubuntu 23.10（mantic）の開発/Ubuntu Storeの開発報告と壁紙コンテスト、“Downfall”へのUbuntuでの対応、Ubuntu 22.04.3のリリース

mantic（Ubuntu 23.10）の開発/Ubuntu Storeの開発報告と壁紙コンテスト

manticで準備される新しいApp Storeについての夏休みシーズン前の中間報告が行われています。「⁠作業は進行中であること」「⁠これから夏休みシーズンに入ること」そして「既存のSoftware Centerのような同種のソフトウェアは除外し、App Store的なものが3つ同居するような事態にはしないこと」「⁠名前はUbuntu Storeになること」とともに、ソースコードとプレビュー動画が公開されています。「⁠なんとなく」10月には間に合いそうなペースで開発が進んでいるため、23.10では新しいストアがお目見えすることになりそうです。

これとは別に、開発シーズン恒例の壁紙コンテストが開催されています。入賞作はUbuntu 23.10に含まれるということで、写真やCGアートワーク等の腕に覚えがある場合はチャレンジしてみてはいかがでしょうか。なお、壁紙コンテストではCC BY-SA 4.0もしくはCC BY 4.0で画像をライセンスする必要があります。また、生成AIを利用したアートワークは「明確には禁止しないものの、通常ほとんどのツールでの生成はライセンス的に互換しえない」（⁠AI generated artwork is not explicitly disallowed, however many popular AI art generation tools use a license that do not align with the license that we require for the competition）ということで、実質禁止という扱いになっています[1]。

[1] CC BY-SA 4.0もしくはCC BY 4.0でのライセンスが必要であるということは、ほぼ自動的に「生成AIによる成果物は不可」を意味するはずなのですが（AIによる生成物は通常は著作権を保持しえず、かつ、著作権を保持しないということはCC BY-SA 4.0もしくはCC BY 4.0でのライセンスは不可能であるという論理と、「⁠AI生成ツールそのものが生成物に一定の制約を設けているよね」という両方の理由があります。現時点でこの論理を越えるためには「学習に利用した素材すべてがあなたの生成物であること」という無体なアプローチしかありません⁠）⁠、明示的にこれを提示しないといけないというあたりが「いかにも過渡期」という感じです。

“Downfall”へのUbuntuでの対応

Intel製プロセッサにおいて、“⁠Downfall⁠”と名付けられた新しい脆弱性が公開されました（CVE-2022-40982⁠）⁠。

攻撃としては「システム上で実行されている他のプロセスの内容を不正に読み取ることができる」というもので、脆弱性としてはMeltdownやMDSと同じような性質のもの（そして、これまでの保護方法ではうまく防御できないもの）です。攻撃手法としては新しいものの、対応としては「いつもの⁠」⁠、つまり「Zenbleedの場合と同じように、適切なマイクロコードが含まれたパッケージに更新する」です。パッケージが「intel-microcode」である点と、「⁠もし強い影響が出る場合、MSR経由で修正を無効にできる」ということを覚えておきましょう[2]。

[2] 今回のマイクロコードアップデートは性能影響が大きいケースがあるため、「⁠修正を無効にする機能」が搭載されたマイクロコードがリリースされています。Downfallの影響を強く受けるようなワークロードがある場合（たいていのケースではGather命令とAVX2かAVX512命令セットを自覚的に使っているはずです⁠）⁠、この変更を行いつつ他の方法で安全を担保する（＝信頼できないコードがシステム上で実行されないように保護する）というアプローチを検討する必要があります。もっともこれに該当するのは「徹底的に性能をチューンした処理」だけで、心当たりがない場合は気にする必要はありません。なお、UbuntuではOpenSSL向けのAVX-512パッチの取り込みが遅延する形で間接的な影響が生じています。

Ubuntu 22.04.3のリリース

22.04 LTSの3回目のポイントリリース、22.04.3がリリースされています。今回のリリースでは23.04ベースのHWEカーネル（カーネル6.2）が投入されています。なお、ポイントリリースの位置づけ等の詳細は、2022年08月5日号を参照してください。

今週のセキュリティアップデート

usn-6266-1：librsvgのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007580.html
Ubuntu 23.04・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-38633を修正します。
悪意ある入力を行うことで、本来アクセスできないファイルの読み取りが可能でした。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-6267-1, usn-6267-2：Firefoxのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007581.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007591.html
Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2023-4045, CVE-2023-4046, CVE-2023-4047, CVE-2023-4048, CVE-2023-4049, CVE-2023-4050, CVE-2023-4051, CVE-2023-4053, CVE-2023-4055, CVE-2023-4056, CVE-2023-4057, CVE-2023-4058を修正します。
Firefox 116.0, Firefox 116.0.2のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、Firefoxを再起動してください。

usn-6268-1：GStreamer Base Pluginsのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007582.html
Ubuntu 23.04・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-37327, CVE-2023-37328を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6269-1：GStreamer Good Pluginsのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007583.html
Ubuntu 23.04・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-37327を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6270-1：Vimのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007584.html
Ubuntu 22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2022-2182, CVE-2022-2208, CVE-2022-2210, CVE-2022-2231, CVE-2022-2257, CVE-2022-2264, CVE-2022-2284, CVE-2022-2285, CVE-2022-2286, CVE-2022-2287, CVE-2022-2289を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6271-1：MaraDNSのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007585.html
Ubuntu 23.04・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2022-30256, CVE-2023-31137を修正します。
悪意ある入力を行うことで、DoS・本来秘匿されるべき情報へのアクセスが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6272-1：OpenJDK 20のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007586.html
Ubuntu 23.04用のアップデータがリリースされています。CVE-2023-22006, CVE-2023-22036, CVE-2023-22041, CVE-2023-22044, CVE-2023-22045, CVE-2023-22049, CVE-2023-25193を修正します。
CPUJul2023に相当するアップデータです。
対処方法：アップデータを適用の上、Javaを利用するアプリケーションを再起動してください。

usn-5064-3：GNU cpioのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007587.html
Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2021-38185を修正します。
usn-5064-1の14.04 ESM向けパッケージです。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6275-1：Cargoのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007588.html
Ubuntu 22.04 LTS（Ubuntu Proのみ⁠）⁠・20.04 LTS（Ubuntu Proのみ⁠）⁠・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2023-38497を修正します。
crateの展開時にレースコンディションを利用することで、にんいのファイルの上書きが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6273-1：popplerのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007589.html
Ubuntu 23.04・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2022-27337, CVE-2023-34872を修正します。
悪意ある入力を行うことで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6274-1：XMLToolingのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007590.html
Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2023-36661を修正します。
悪意ある入力を行うことで、サーバーサイドリクエストフォージェリが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6277-1：Dompdfのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007592.html
Ubuntu 20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2014-5011, CVE-2014-5012, CVE-2014-5013, CVE-2021-3838, CVE-2022-2400を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6278-1, usn-6278-2：.NETのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007593.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007601.html
Ubuntu 23.04・22.04 LTS用のアップデータがリリースされています。CVE-2023-35390, CVE-2023-38178, CVE-2023-38180を修正します。
悪意ある入力を行うことで、任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6276-1：unixODBCのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007594.html
Ubuntu 16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2018-7409を修正します。
悪意ある入力を行うことで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6279-1：OpenSSHのアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007595.html
Ubuntu 20.04 LTS・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。LP#2030275で報告されたCVE-2020-14145を緩和します。
デフォルトでセットされているアルゴリズム選定が適切でないため、攻撃の余地がありました。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4336-3：GNU binutilsのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007596.html
Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2017-9742, CVE-2017-9747, CVE-2017-9748, CVE-2017-9750, CVE-2017-9756, CVE-2018-6323を修正します。
usn-4336-1の14.04 ESM向けパッケージです。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6243-2：Graphite-Webの再アップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007597.html
Ubuntu 18.04 ESM用のアップデータがリリースされています。
usn-6243-1の修正により、graphite-webが動作しない状態に陥っていました。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6281-1：Velocity Engineのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007598.html
Ubuntu 20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2020-13936を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6282-1：Velocity Toolsのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007599.html
Ubuntu 20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2020-13959を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6277-2：Dompdfのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007600.html
Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2023-35390, CVE-2023-38178, CVE-2023-38180を修正します。
usn-6277-1の22.04 LTS向けパッケージです。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6283-1：Linux kernelのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007602.html
Ubuntu 23.04用のアップデータがリリースされています。CVE-2023-2002, CVE-2023-2269, CVE-2023-3141, CVE-2023-32248, CVE-2023-32254, CVE-2023-3268, CVE-2023-3312, CVE-2023-3317, CVE-2023-35823, CVE-2023-35824, CVE-2023-35826, CVE-2023-35828, CVE-2023-35829を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6284-1：Linux kernelのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007603.html
Ubuntu 20.04 LTS・18.04 ESM用のアップデータがリリースされています。CVE-2020-36691, CVE-2022-0168, CVE-2022-1184, CVE-2022-27672, CVE-2022-4269, CVE-2023-0590, CVE-2023-1611, CVE-2023-1855, CVE-2023-1990, CVE-2023-2124, CVE-2023-2194, CVE-2023-28466, CVE-2023-30772, CVE-2023-3111, CVE-2023-3141, CVE-2023-33203を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6285-1：Linux kernel (OEM)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007604.html
Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2022-48502, CVE-2023-2640, CVE-2023-2898, CVE-2023-31248, CVE-2023-32629, CVE-2023-3390, CVE-2023-35001, CVE-2023-3609, CVE-2023-3610, CVE-2023-3611, CVE-2023-3776, CVE-2023-38430, CVE-2023-38432, CVE-2023-3863を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6286-1：Intel Microcodeのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007605.html
Ubuntu 23.04・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2022-40982, CVE-2022-41804, CVE-2023-23908を修正します。
Downfallを含む脆弱性に対処するためのマイクロコードアップデートです。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-6280-1：PyPDF2のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007606.html
Ubuntu 22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2023-36810を修正します。
悪意ある加工を施したファイルを処理させることで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6287-1：Go yamlのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007607.html
Ubuntu 20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2021-4235, CVE-2022-3064を修正します。
悪意ある加工を施したファイルを処理させることで、DoSが可能でした。
対処方法：アップデータを適用の上、golang-yaml.v2に依存するアプリケーションをリビルドしてください。

usn-4897-2：Pygmentsのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007608.html
Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2021-20270, CVE-2021-27291を修正します。
usn-4897-1の14.04 ESM向けパッケージです。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。