gihyo.jpサイトのロゴ

Ubuntu Weekly Topics

Ubuntu 23.10(mantic)開発 / Ubuntu Testing Weekと仕様の取捨選択⁠『Inception』対するUbuntuの対応

2023-09-01

mantic(Ubuntu 23.10の開発) / Ubuntu Testing Weekと仕様の取捨選択

バケーションシーズンで開発の勢いがやや落ちる中、Ubuntu Testing Weekが開催されています。Testing Weekはその名の通り「現時点でのISOイメージ」を用いたQAテストを行い、大きな問題がないか叩き出しを行うためのもので、コミュニティのボランティアを中心にテストが行われます。ここで見つけられた問題はLaunchpad上のバグトラッカーに登録され、致命的なものであればリリースまでの修正を目指す、という流れで作業が行われていきます。

一方、Feature Freezeを過ぎたことで各種機能の取捨選択も開始されています。たとえばCUPSのsnap版は今回のリリースでは取り下げられており、これまでと同様の.debパッケージによる提供に切り戻されることになりそうです。逆にLibreOffice 7.6のためのException Requestを始めとして、⁠予定されていた例外」[1]は順調に処理されていこうとしています。

これらの動きと並行して、Ubuntu Desktopのこれまでと長期的な狙いと23.10での目標マイルストーン群が投稿されています。Ubuntu Desktopの使われている範囲の説明だけでなく、利用可能なデバイスについて「Ubuntu 23.10: This one we’re keeping quiet about for now, stay tuned!」⁠=「これは今の時点ではまだ黙っておきます、お楽しみに!⁠⁠)と記載されていたり、あるいはアプリケーションごとのプライバシー設定やフルディスク暗号化についての言及があったりと、⁠まだ投入されていない隠し球」[2]についての記載も含まれています。manticのリリースまで、まだまだ波乱がありそうです。

『Inception』に対するUbuntuの対応

AMD製CPUに発見されたInception脆弱性へのUbuntuでの対応が準備されました。Inceptionは投機的サイドチャネル攻撃の典型例で、要するに「AMD製CPUで機能するSpectreの亜種」という性質のものです。

基本的な対応はCPUの脆弱性が発見された場合と同じで、DownfallZenbleedへのものと同様、⁠対応できるマイクロコードがリリースされていればそれを適用する」というものです。現時点では第三世代、第四代EPYC向けのマイクロコードだけがリリースされており、Ubuntuでの対応パッケージ(amd64-microcode)もこれら向けのものとなっています。なお、Ubuntu 14.04はまだESMによる延長サポート期間中ですが、⁠第三世代EPYC+Ubuntu 14.04という組み合わせで利用しているユーザーの存在は現実的に考えがたい」ということでUbuntu側では対応しない、という判断となっています[3]。他のプロセッサ(主に民生用のデスクトップやモバイル向け)の場合は順次AGESAファームウェアのリリースを待って、ハードウェア側のファームウェアを更新していく、という形になります。

その他のニュース

  • Lunar(23.04)以降搭載されたカーネルのRustサポートの基本的な利用法について。

今週のセキュリティアップデート

usn-6304-1:Inetutilsのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007628.html
  • Ubuntu 23.04・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2022-39028, CVE-2023-40303を修正します。
  • 悪意ある入力を行うことで、DoS・本来秘匿されるべき情報へのアクセス・任意のコードの実行が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6305-1:PHPのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007629.html
  • Ubuntu 23.04・22.04 LTS用のアップデータがリリースされています。CVE-2023-3823, CVE-2023-3824を修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6306-1:Fast DDSのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007630.html
  • Ubuntu 23.04・22.04 LTS(Ubuntu Proのみ)用のアップデータがリリースされています。CVE-2021-38425, CVE-2023-39534, CVE-2023-39945, CVE-2023-39946, CVE-2023-39947, CVE-2023-39948, CVE-2023-39949を修正します。
  • 悪意ある入力を行うことで、DoS・本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6307-1:JOSE for C/C++のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007631.html
  • Ubuntu 23.04・22.04 LTS・20.04 LTS・18.04 ESM用のアップデータがリリースされています。CVE-2023-37464を修正します。
  • 悪意ある入力を行うことで、DoSが可能であるとともに、本来秘匿されるべき情報へのアクセスが可能な疑いがあります。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6308-1:Libqbのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007632.html
  • Ubuntu 23.04・22.04 LTS用のアップデータがリリースされています。CVE-2023-39976を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6309-1:Linux kernelのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007633.html
  • Ubuntu 16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2023-2269, CVE-2023-2985, CVE-2023-31084, CVE-2023-3567, CVE-2023-3611, CVE-2023-3776を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6310-1:json-cのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007634.html
  • Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2021-32292を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:アップデータを適用の上、システムを再起動してください。

usn-6311-1:Linux kernelのセキュリティアップデート

usn-6312-1:Linux kernelのセキュリティアップデート

おすすめ記事

記事・ニュース一覧