OpenStack Summit Atlanta 2014
OpenStackの祭典、OpenStack Summitがアトランタで開催されています。Ubuntu/Canonicalの創始者であるMark Shuttleworthによるキーノート が行われ、UbuntuとOpenStack に関するいくつかの発表が行われました。
このキーノートに伴ってアナウンスページ も準備されており、文字ベースで確認することもできます。一般的なユーザーにとっても興味深いであろう内容を簡単に見ていきましょう。
まず最初にアピールされているのが、OIL(OpenStack Interoperalibily Lab)です。これはCanonicalが推進する、「 OpenStack上で利用できる、あるいはOpenStack互換のソフトウェア・ミドルウェア・ハードウェア群について、相互利用性を担保するための互助会」に相当するもので、Labに参加する各企業のサービスが組み合わされ、毎月3,000以上のクラウドがデプロイされて、テストされているとアピールしています。
OILに関連して、IBMとCanonicalの連携もアピールされています。いわく、「 Big news is that IBM is coming to the Ubuntu ecosystem and collaborating with Canonical in a few areas.」( 大きなニュースがある。IBMがUbuntuエコシステムに参加し、そしてCanonicalといくつかの分野で協働している) 。Jujuを用いて、IBM製ソフトウェアの一部がデプロイできるようになったこと、POWERプロセッサ環境を協働して推進していく旨のアナウンスが行われています。
Cloudbase との協働により、CentOSとWindowsもJujuからデプロイできるようになったというアナウンスが行われました。これにより、「 JujuからデプロイできるのはUbuntuだけ」という大きな弱点がカバーされることになります。上層(デプロイされる側)だけでなく、Hyper-VベースのOpenStack Nova(EC2相当)も利用できるということがアピールされており、さまざまな混在環境がサポートされるようになります。また、これによってAD等の、Microsoft系サービスとの連携も可能となるだろうと示されています。
AMD(旧Seamicro)の、SM15000シャーシ を、UbuntuベースのOpenStack環境として簡単に利用できるようになったという旨のアナウンスとデモンストレーションも行われました[1] 。SM15000はいわゆる「マイクロサーバー」の一種で、10Uに64ノードを押し込めることが可能な超凝縮型サーバーハードウェアです。
これらのサービスを補完する位置づけのYour Cloud というサービスが開始されることもアナウンスされました。Your Cloudは、「 クラウドサービスの構築と運用をCanonicalに任せることができる」というサービスで、1ホストにつき$15/日を支払うことで、24/7体制(≒24時間365日)モニタリングを含め、完全お任せ型の利用が可能というサービスです。ユーザーが所持しているハードウェアに対してサービスを提供してくれるため、「 クラウドサービスを所有しつつ、しかし構築や管理はCanonicalが行ってくれる」という体制を取ることができます。少々割高ではありますが、「 プライベートクラウドに手を出してみたいが、しかし構築のために大がかりな予算が取れない」といった場合の選択肢になりそうです。
……ここまでは一般ユーザーにとってはあまり縁のなさそうな話ですが、このキーノートに関連して、「 The Orange Box」というハードウェアもアナウンスされています。
The Orange Box は一種の「おかもち」型のクラスタ環境で、横倒しにしたタワーPCライクなケースに、Intel NUC10枚(D53427RKE。Core i5モデル・16GBメモリ・128GB SSD)+VLAN対応16ポートスイッチ・電源を納めることで、「 持ち運べるOpenStack環境」を実現したプロダクトです。上位のNUCを搭載し、16ポートスイッチのうち6ポートを外部接続に回しているため、計算ノードとしても決して低くない性能を持ちます。
個別販売もしており、送料無料で入手 可能です。お値段は7,575ポンド=約130万円と少々手が出しにくいものの、自動車を買うつもりで購入すれば大きな問題はなさそうです。購入する、あるいは購入は不可能なのでECS LIVA ベースでケースを自作して類似品を構築するといった猛者が登場することを期待しています。
[1] MAASのバグ情報を追いかけると、一ヶ月ぐらい前にMarkがじきじきに大量のバグ登録(例:SM15000はノードが超大量にあるから、一台ずつ名前付けていくと死にそうになるから連番でマシン名自動で付けてくれない?)をしていて、どうやら綿密に準備されたプレゼンテーションであったらしい、ということが分かります。
apt-venv
Ubuntuのユーザーのうちの何割かはDebianを併用し、さらにUbuntuは複数のリリースを使い分けつつ、Debianではsidとstableを併用しているはずです。そうしたユーザーやパッケージ開発者にとって、「 今ログインしているこの環境にあるこのパッケージ、どのマシンには入っているんだっけ?」「 あっちのホストにあるパッケージ、こっちでは古いぞ!」といったセルフ落とし穴にはまることはとても日常的なイベントになります。
こうした事態を緩和するため、apt-venv というプログラムが開発されています。これは、異なるバージョンのUbuntuやDebianのapt-cacheコマンドを再現するツールで、「 apt-cenv sid -u; apt-venv sid」としてサブシェルを起動し、その上で実行するapt-cacheコマンド(と、aptのDBを利用するコマンド)はsidのDBを参照するというものです。
これまでも各リリースに含まれるパッケージバージョンを確認するだけであればrmadisonコマンドを用いることで代替できましたが、単にバージョンを確認するだけでなく、apt-cache policyやapt-cache showによる詳細情報の確認・searchなどの検索コマンドを利用できるのがメリットです。
UWN#367
Ubuntu Weekly Newsletter #367 がリリースされています。
その他のニュース
[2] なお、Unreal Engine 4からは個人でも契約を結ぶことができ、$19/月の基本契約を結べばソースコードを含む開発リソースにアクセスでき、Unreal Engineを使ったゲームを販売することも可能です(ロイヤリティとして売り上げの5%が必要) 。
今週のセキュリティアップデート
usn-2183-2 :dpkgの再アップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002489.html
Ubuntu 14.04 LTS・13.10・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。
usn-2183-1 において、誤った古いpatch utilityが同梱されていました。 usn-2190-1 :JBIG-KITのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002490.html
Ubuntu ・14.04 LTS・13.10・12.10用のアップデータがリリースされています。CVE-2013-6369 を修正します。
JBIG-KITに悪意ある加工を施したイメージを認識させることで、任意のコードの実行の可能性を含む、メモリ破壊を伴うクラッシュを発生させることが可能です。
対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2191-1 :OpenJDK 6のセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002491.html
Ubuntu 12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-0429 , CVE-2014-0446 , CVE-2014-0451 , CVE-2014-0452 , CVE-2014-0456 , CVE-2014-0457 , CVE-2014-0458 , CVE-2014-0461 , CVE-2014-0462 , CVE-2014-2397 , CVE-2014-2405 , CVE-2014-2412 , CVE-2014-2414 , CVE-2014-2421 , CVE-2014-2423 , CVE-2014-2427 を修正します。
CPUApr2014 のOpenJDK版です。対処方法:アップデータを適用の上、Javaアプリケーションを再起動してください。
備考:Upsteramのリリースをそのまま適用しているため、セキュリティアップデート以外の修正を含んでいます。
usn-2192-1 :OpenSSLのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002492.html
Ubuntu 14.04 LTS・13.10・12.10・12.04 LTS用のアップデータがリリースされています。CVE-2010-5298 , CVE-2014-0198 を修正します。
OpenSSLの利用時、ssl3_read_bytes()・do_ssl3_write()に不正な入力が行われるとクラッシュが生じることがありました。
対処方法:アップデータを適用の上、システムを再起動してください。
usn-2193-1 :OpenStack Glanceのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002493.html
Ubuntu 13.10用のアップデータがリリースされています。CVE-2014-0162 を修正します。
GlanceのバックエンドとしてSheepdogを利用している場合、外部入力によるコマンドインジェクションが可能でした。
対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2194-1 :OpenStack Neutronのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002494.html
Ubuntu 13.10用のアップデータがリリースされています。CVE-2014-0056 を修正します。
Neutronにおいて、l3-agentへのポート設定の引き渡しに問題があり、悪意ある細工を施した入力を行うことで、本来アクセスできない異なる空間にアクセスすることが可能でした。
対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2196-1 :Linux kernelのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002495.html
Ubuntu 10.04 LTS用のアップデータがリリースされています。CVE-2014-0196 を修正します。
対処方法:アップデータを適用の上、システムを再起動してください。
備考:CVE-2014-0196 はローカルユーザーがroot特権に昇格できるタイプの脆弱性です。早期の対応を推奨します。
usn-2197-1 :Linux kernel (EC2)のセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002496.html
Ubuntu 10.04 LTS用のアップデータがリリースされています。CVE-2014-0196 を修正します。
対処方法:アップデータを適用の上、システムを再起動してください。
備考:CVE-2014-0196 はローカルユーザーがroot特権に昇格できるタイプの脆弱性です。早期の対応を推奨します。
usn-2198-1 :Linux kernelのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002497.html
Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-0196 を修正します。
対処方法:アップデータを適用の上、システムを再起動してください。
備考:CVE-2014-0196 はローカルユーザーがroot特権に昇格できるタイプの脆弱性です。早期の対応を推奨します。
備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2199-1 :Linux kernel (Quantal HWE)のセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002498.html
Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-0196 を修正します。
対処方法:アップデータを適用の上、システムを再起動してください。
備考:CVE-2014-0196 はローカルユーザーがroot特権に昇格できるタイプの脆弱性です。早期の対応を推奨します。
usn-2200-1 :Linux kernel (Raring HWE)のセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002499.html
Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-0196 を修正します。
対処方法:アップデータを適用の上、システムを再起動してください。
usn-2201-1 :Linux kernel (Saucy HWE)のセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002500.html
Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-0196 を修正します。
対処方法:アップデータを適用の上、システムを再起動してください。
usn-2202-1 :Linux kernelのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002501.html
Ubuntu 12.10用のアップデータがリリースされています。CVE-2014-0196 を修正します。
対処方法:アップデータを適用の上、システムを再起動してください。
usn-2203-1 :Linux kernelのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002502.html
Ubuntu 13.10用のアップデータがリリースされています。
対処方法:アップデータを適用の上、システムを再起動してください。
usn-2204-1 :Linux kernelのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002503.html
Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2014-0196 を修正します。
対処方法:アップデータを適用の上、システムを再起動してください。
usn-2205-1 :LibTIFFのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002504.html
Ubuntu 14.04 LTS・13.10・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2013-4231 , CVE-2013-4232 , CVE-2013-4243 , CVE-2013-4244 を修正します。
git2tiff・tiff2pdfにメモリ破壊を伴う問題がありました。悪用により権限の奪取が可能な疑いがあります。
対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2206-1 :OpenStack Horizonのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002505.html
Ubuntu 13.10用のアップデータがリリースされています。CVE-2014-0157 を修正します。
Horizon上でHeatテンプレートを利用する際、テンプレートに含まれるパラメータの確認が不十分なため、XSSが可能でした。これにより細工を施したHeatテンプレートを送りつけることで、WebUIへ入力された値の奪取等の攻撃が可能です。
対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2207-1 :OpenStack Swiftのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002506.html
Ubuntu 13.10・12.10・12.04 LTS用のアップデータがリリースされています。CVE-2014-0006 を修正します。
SwiftがTempURLを利用する際、タイミング攻撃が可能な余地がありました。本来第三者がアクセス可能であることを意図していないURLへのアクセスが可能です。
対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2208-1 ・usn-2208-2 :OpenStack Cinderのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002507.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002508.html
Ubuntu 12.10用のアップデータがリリースされています。CVE-2013-6491 を修正します。
Cinderが、設定ファイルでqpid_protocolでsslを指定しているにも関わらず、QPidを利用する際にHTTPSを強制しない動作をしていました。
対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2209-1 :libvirtのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002509.html
Ubuntu 13.10用のアップデータがリリースされています。CVE-2013-6456 , CVE-2013-7336 を修正します。
libvirt経由でLXCを利用している場合、古典的symlink攻撃が可能でした。これにより本来意図しないホストの削除・シャットダウン・任意のファイルの作成等が可能です。また、SPICEマイグレーションを利用する際、特定の操作でクラッシュを誘発させることが可能でした。
対処方法:アップデータを適用の上、システムを再起動してください。
usn-2210-1 :cups-filtersのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002510.html
Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2014-2707 を修正します。
異常な名前のプリンターを準備することで、任意のコマンドの実行が可能でした。
対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2211-1 :libXfontのセキュリティアップデート
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-May/002511.html
Ubuntu 14.04 LTS・13.10・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-0209 , CVE-2014-0210 , CVE-2014-0211 を修正します。
悪意ある加工を施したフォントメタデータか、X font serverを準備することでメモリ破壊を伴うクラッシュを誘発することが可能でした。これによりroot権限を確保できる可能性があります。
対処方法:アップデータを適用の上、システムを再起動してください。
