gihyo.jpサイトのロゴ

Ubuntu Weekly Topics

Ubuntu 25.04(plucky)開発; Qt 5の除外へ向けての第一歩

2024-11-08

Ubuntu 25.04(plucky)の開発; Qt 5の除外へ向けての第一歩

pluckyの開発が本格的に開始されたものの、宣言されたスケジュール上、大きな動きがない時期に入りました。11月中旬から12月にかけては、一般的なカレンダーでは感謝祭やクリスマスなど、いわゆる「ホリデーシーズン」に入り、欧米の開発者の中にはある程度まとまった休暇を取る時期でもあります。

マイルストーンとしては11月末のbinutilsの更新まで、大規模な変化よりはプランニングに使われるはずです(ただし、⁠今この瞬間ならこの大きな変更もできる!」というチャレンジが行われることも、たまにはあります⁠⁠。

こうした前提において、Qt 5の除外のための計画が提案されています。この提案は、⁠Qt 5を、26.04 LTSまでには除外した(つまりQt 6だけにした)状態でリリースしたい」というものです。

QtはKDEアプリケーションのコアライブラリであると同時に、複数のOSで動作するアプリケーションを作るためのライブラリです。非常に便利にソフトウェアを開発できる反面、ディストリビューションの視点では一定のサイズを占めること、そしてその性質上、LTSリリースに含めてしまうと、メンテナンスを長期間続けなくてはならないという宿命があります。もしメンテナンスができない状態になると、Qtを利用したアプリケーション群がまとめてセキュリティ的に脆弱な状態に陥ることになってしまいます。26.04 LTSはおそらく最大で12年(⁠⁠Legacy Support」による追加の2年を含めなくても10年)のあいだメンテナンスを継続する必要があり、Qt 5が含まれないようにすることには、一定のコストを支払う価値があります。

こうしたQtの大規模マイグレーションはUbuntuの開発では定期的に行われてきている(そして、Qtを軸にしたシステムでは不可避な)イベントで、Qt 4については2019年の夏に呼びかけが行われ、Ubuntu 19.10が「最後の」Qt 4搭載バージョンとなる計画を立てて作業が行われました。Qt 4から5への移行はかなりヘビーなものであったこと(アプリケーションの書き換えが大量にあった⁠⁠、今回の5から6では後方互換性を提供するライブラリが存在することから、おそらく「この時よりは楽に進められるはずである」という目論見が立てられています。

今回のプランでは「26.04では含めない」という点だけが決められており、25.04タイミングでどうする、というよりは「26.04よりも早期にQt 5を終了させる必要があるなら相談してくれ」という性質の宣言です。中心的なターゲットはアプリケーション開発者やパッケージ開発者・メンテナーで、⁠Qt 6へ依存関係を切り替えてほしい」という呼びかけとなっており、⁠今後切り替えていきたい」という属性のものとなっています。ソフトウェア的には上述の通り、互換性ライブラリを利用すればQt 5で動作しているアプリケーションをQt 6依存にすることはあまり難しくないので、ユーザーの視点では「何か大きく変わる」わけではありませんが、長期間のサポートというものはこうした地道な作業に支えられていることを認識しておくと良いかもしれません。

今週のセキュリティアップデート

usn-7064-2:nanoのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-October/008737.html
  • Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2024-5742を修正します。
  • 悪意ある入力を行うことで、古典的symlink攻撃が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7084-1:urllib3のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-October/008738.html
  • Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2024-37891を修正します。
  • 悪意ある入力を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7085-1, usn-7085-2:X.Org X Serverのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-October/008739.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-October/008741.html
  • Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2024-9632を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:アップデータを適用の上、システムを再起動してください。

usn-7084-2:pipのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-October/008740.html
  • Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2024-37891を修正します。
  • 悪意ある入力を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
  • 備考:pipに含まれるurllib3の修正です。

usn-7087-1:libarchiveのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-October/008742.html
  • Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-20696を修正します。
  • 悪意ある加工を施したファイルを処理させることで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7086-1:Firefoxのセキュリティアップデート

usn-7021-5:Linux kernelのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-October/008744.html
  • Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2024-26677, CVE-2024-27012, CVE-2024-38570, CVE-2024-39494, CVE-2024-39496, CVE-2024-41009, CVE-2024-42160, CVE-2024-42228を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-7076-2:Linux kernelのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-October/008745.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2024-27397, CVE-2024-38630, CVE-2024-45001, CVE-2024-45016を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-7088-1:Linux kernelのセキュリティアップデート

usn-7089-1:Linux kernelのセキュリティアップデート

usn-7090-1:Linux kernelのセキュリティアップデート

usn-7088-2:Linux kernelのセキュリティアップデート

usn-7089-2:Linux kernelのセキュリティアップデート

usn-7083-1:OpenJPEGのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-November/008751.html
  • Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2021-29338, CVE-2021-3575, CVE-2022-1122を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7091-1:Rubyのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-November/008752.html
  • Ubuntu 24.10・24.04 LTS・22.04 LTS用のアップデータがリリースされています。CVE-2024-35176, CVE-2024-39908, CVE-2024-41123, CVE-2024-41946, CVE-2024-49761を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧