Ubuntu 24.04 LTS（noble）の開発 / xz-utils問題（CVE-2024-3094）への対応のためのベータ延期とMilk-Vサポート

noble（Ubuntu 24.04 LTS）の開発 / xz-utils問題（CVE-2024-3094）への対応のためのベータ延期とMilk-Vサポート

3月末、Linux界隈に「xz-utils（xz/liblzma）にバックドアが仕込まれている」という衝撃的なニュースが駆け巡りました。CVE-2024-3094として識別されるこの問題は、「⁠xz/liblzmaのtarballに、悪意あるバックドアを仕込む細工が行われていた」というものです。

この問題への対応として、Ubuntuではnobleのベータリリースを一週間遅らせ、（⁠問題のあるxz-utilsのコードを除外することはもちろん）問題のバックドアがxz-utilsにコミットされた2月26日以降のすべてのバイナリを一端削除し、あらためてバイナリを生成しなおす、という判断を行っています。これにより、「⁠問題のバックドアが影響した可能性」を排除できると期待されます。

一方で、4月4日にリリースされる予定だったnobleのベータは4月11日に延期されます（ついでに、しばらくの間はバイナリパッケージのフルリビルド待ちで、「⁠新しいパッケージ」が降ってこない状態になっています⁠）⁠。4月25日のリリース予定は変わりません。

なお、この悪意あるコードは次のようなものでした。より詳細はRuss Cox氏によるまとめを参照してください。

この開発者によるバックドアは、明らかに意識的に、システムを侵害するためのバックドアとしてデザインされている。
DebianやUbuntu、あるいはFedoraのパッケージを生成するタイミングで「問題のバイナリ」が生成されるように細工が行われていた。
この細工が行われたのは2月26日。
特定の秘密鍵を持っているユーザーは、このコードの影響下にある（libsystemdとリンクして動作している結果として問題のあるliblzmaをロードしている）システムにSSHログインできるようになる。

Ubuntuのユーザーとして理解しておくべきことは次の通りです。ただちに何か行動をする必要は、ほとんどの場合はありません。

悪意あるコードが含まれるバージョン（5.6.0、5.6.1）のxz-utilsは、noble-proposedにしか存在しない。つまり、通常のリリースバージョンだけでなく、nobleの通常の開発環境にも存在していないため、このバックドアの直接の影響を受けることはない。
ただし、nobleの開発に参加しており、かつ、xz-utilsの最新版をテストするためにnoble-proposedを有効にした環境では影響を否定できない。もしもインターネットに直接SSHdを提供している環境だった場合、システムの再インストールを行ったほうがよいかもしれない。
問題の開発者がコードをコミットしたこの2年ほどのxz-utilsは、システムに存在している可能性がある。現時点でいくつかの「悪意ある改変」は発見されているが、CVE-2024-3094以外には、システムにただちに危険をもたらすものは今のところ発見されていない。

これらの横で、非常に興味深い作業の進捗が報告されています。これはu-boot-starfive（RISC-VのStarFive系ハードウェアで利用するu-bootツールのパッケージ）に関連する更新で、「⁠Milk-V Marsボードをサポートする」ことが示唆されています。更新の中身は実質的にはこうしたもので、Milk-V Marsが動作するという状態が準備されています。

Milk-V MarsはStarFive VisionFive 2が採用するものと同じSoC（StarFive JH7110）を軸にした小型のSBCで、POEもしくはUSB-Cで電源を供給できること、そして下位モデルであればきわめて廉価であることを特徴としています。「⁠気軽にUbuntuが使える環境」が一つ増えそうだと言えそうです。

その他のニュース

「MicrosoftがWindows 10ユーザーのうち、Windows 11非対応の環境を使っている人に対してUbuntuへの乗り換えを推奨している」という、4月1日にIt's FOSS Newsによって提供されたニュース。文脈を補完しておくと、「⁠Windows 11では、それなりに新しいハードウェアが必要になり、Windows 10が動いているからといって11にアップグレードできるとは限らない」という前提を把握しておく必要があります。ただし繰り返しますが、このニュースの公開日は4月1日です（つまり「ありえても決しておかしくはないものの、これはただのエイプリルフールのネタ」という話です⁠）⁠。

今週のセキュリティアップデート

usn-6717-1：Thunderbirdのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-March/008199.html
Ubuntu 23.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-5388, CVE-2024-0743, CVE-2024-2607, CVE-2024-2608, CVE-2024-2610, CVE-2024-2611, CVE-2024-2612, CVE-2024-2614, CVE-2024-2616を修正します。
Thunderbird 115.9.0のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、Thunderbirdを再起動してください。

usn-6718-1, usn-6718-2：curlのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-March/008200.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-March/008201.html
Ubuntu 23.10・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2024-2004, CVE-2024-2398を修正します。
悪意ある入力を行うことで、DoSが可能でした。また、プロトコル制約が意図せず機能しない場合がありました。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6719-1：util-linuxのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-March/008202.html
Ubuntu 23.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-28085を修正します。
悪意ある操作を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6686-5：Linux kernel (Intel IoTG)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-March/008203.html
Ubuntu 22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-22995, CVE-2023-4134, CVE-2023-46343, CVE-2023-46862, CVE-2023-51779, CVE-2023-51782, CVE-2023-6121, CVE-2024-0340, CVE-2024-0607を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6715-1：unixODBCのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-March/008204.html
Ubuntu 23.10・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2024-1013を修正します。
悪意ある操作を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6704-4：Linux kernel (Intel IoTG)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-March/008205.html
Ubuntu 22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-23000, CVE-2023-32247, CVE-2024-1085, CVE-2024-1086, CVE-2024-24855を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6707-4：Linux kernel (Azure)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-March/008206.html
Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2024-1085, CVE-2024-1086, CVE-2024-26597, CVE-2024-26599を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。