mantic（Ubuntu 23.10）の開発 / Feature Freeze

夏休みシーズンに入って少し落ち着きを見せている23.10の開発は、Feature Freezeの後、各種ソフトウェアの調整が開始されるシーズンになりました。

毎回の説明ではありますが、UbuntuにおけるFeature Freezeは「新機能を投入するには例外申請が必要」という位置づけで、この例外申請も、十分に説得力のある背景があればあまり拒絶されることはありません。現実としては大量の申請が行われ[1]、これらが順調に処理されるというスタイルが取られます[2]。もちろんFreeze以前に比べるとゆるやかなペースにはなるものの、現状の機能で「23.10の新機能はこれだ」といった記事を書けるような性質は、いまの時点のDaily Buildにはありません。

なにしろUbuntu DesktopのコアになるGNOMEの次のリリース、GNOME 45のGAは9月下旬ですし、壁紙コンテストは進行中、「⁠Ubuntu Store」はまだ未完成と、全体的に「パーツはまだ揃っていない」という段階でしかありません。さらになぜか今になってAppArmorの大きめの仕様変更が提案されていたり、.NET 8もRCタイミングで投入されるわけで、まだまだ油断できる段階ではなさそうです。

……とはいえ「あるアプリケーションが無事に動作するかどうか」を試したり、あるいは既存の作業フローが機能するかどうか確認するような用途には利用できるため、23.10での動作（あるいは将来リリースされる24.04 LTSに向けた下準備）をするようであれば、今のうちにテストを始めておくのが良いでしょう。

今週のセキュリティアップデート

usn-6288-1：MySQLのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007609.html
• Ubuntu 23.04・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-22005, CVE-2023-22008, CVE-2023-22033, CVE-2023-22038, CVE-2023-22046, CVE-2023-22048, CVE-2023-22053, CVE-2023-22054, CVE-2023-22056, CVE-2023-22057, CVE-2023-22058を修正します。
• MySQL 8.0.34のUbuntuパッケージ版です。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6289-1：WebKitGTKのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007610.html
• Ubuntu 23.04・22.04 LTS用のアップデータがリリースされています。CVE-2023-38133, CVE-2023-38572, CVE-2023-38592, CVE-2023-38594, CVE-2023-38595, CVE-2023-38597, CVE-2023-38599, CVE-2023-38600, CVE-2023-38611を修正します。
• 対処方法：アップデータを適用の上、WebKitGTKを利用するアプリケーションを再起動してください。

usn-6290-1：LibTIFFのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007611.html
• Ubuntu 23.04・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2022-48281, CVE-2023-25433, CVE-2023-26965, CVE-2023-26966, CVE-2023-2731, CVE-2023-2908, CVE-2023-3316, CVE-2023-3618, CVE-2023-38288, CVE-2023-38289を修正します。
• 悪意ある加工を施したファイルを処理させることで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6291-1：GStreamerのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007612.html
• Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2017-5838を修正します。
• 悪意ある入力を行うことで、DoS・本来秘匿されるべき情報へのアクセスが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6292-1：Cephのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007613.html
• Ubuntu 23.04用のアップデータがリリースされています。CVE-2022-3650を修正します。
• 悪意ある操作を行うことで、特権昇格が可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6293-1：OpenStack Heatのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007614.html
• Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2023-1625を修正します。
• 悪意ある入力を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6294-1：HAProxyのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007615.html
• Ubuntu 23.04・22.04 LTS用のアップデータがリリースされています。CVE-2023-40225を修正します。
• 悪意ある入力を行うことで、ペイロードの改竄・制限の迂回が可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6295-1：Podmanのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007616.html
• Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2022-2989を修正します。
• グループによる制御の一部が期待通りに動作していませんでした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6296-1：PostgreSQLのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007617.html
• Ubuntu 23.04・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-39417, CVE-2023-39418を修正します。
• PostgreSQL 15.4, 14.9, 12.16のUbuntuパッケージ版です。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6298-1：ZZIPlibのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007618.html
• Ubuntu 20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2018-7727, CVE-2020-18442を修正します。
• 悪意ある加工を施したファイルを処理させることで、DoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6297-1：Ghostscriptのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007619.html
• Ubuntu 23.04・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2023-38559を修正します。
• 悪意ある加工を施したファイルを処理させることで、DoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6294-2：HAProxyのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007620.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2023-40225を修正します。
• usn-6294-1の20.04 LTS向けパッケージです。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6299-1：popplerのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007621.html
• Ubuntu 20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2020-36023, CVE-2020-36024を修正します。
• 悪意ある加工を施したファイルを処理させることで、DoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6300-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007622.html
• Ubuntu 22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2022-4269, CVE-2022-48502, CVE-2023-0597, CVE-2023-1611, CVE-2023-1855, CVE-2023-1990, CVE-2023-2002, CVE-2023-2124, CVE-2023-2163, CVE-2023-2194, CVE-2023-2235, CVE-2023-2269, CVE-2023-23004, CVE-2023-28466, CVE-2023-30772, CVE-2023-3141, CVE-2023-32248, CVE-2023-3268, CVE-2023-33203, CVE-2023-33288, CVE-2023-35823, CVE-2023-35824, CVE-2023-35828, CVE-2023-35829を修正します。
• 対処方法：アップデータを適用の上、システムを再起動してください。
• 備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6301-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007623.html
• Ubuntu 20.04 LTS・18.04 ESM用のアップデータがリリースされています。CVE-2020-36691, CVE-2022-0168, CVE-2022-1184, CVE-2022-27672, CVE-2022-4269, CVE-2023-0590, CVE-2023-1611, CVE-2023-1855, CVE-2023-1990, CVE-2023-2124, CVE-2023-2194, CVE-2023-28466, CVE-2023-30772, CVE-2023-3111, CVE-2023-3141, CVE-2023-33203を修正します。
• 対処方法：アップデータを適用の上、システムを再起動してください。
• 備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6267-3：Firefoxの再アップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007624.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。
• Firefox 116.0.3のUbuntuパッケージ版です。
• 対処方法：アップデータを適用の上、Firefoxを再起動してください。

usn-6302-1：Vimのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007625.html
• ubuntu 22.04 LTS・20.04 LTS・18.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2022-2522, CVE-2022-2580, CVE-2022-2598, CVE-2022-2816, CVE-2022-2817, CVE-2022-2819, CVE-2022-2862, CVE-2022-2874, CVE-2022-2889, CVE-2022-2982, CVE-2022-3016, CVE-2022-3037, CVE-2022-3099, CVE-2022-3134, CVE-2022-3153を修正します。
• 悪意ある加工を施したファイルを処理させることで、任意のコードの実行・DoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6303-1, usn-6303-2：ClamAVのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007626.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007627.html
• Ubuntu 23.04・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2023-20197を修正します。
• 悪意ある加工を施したファイルを処理させることで、DoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。