2015年10月2日号　wilyのFinal Beta・SRUポリシーの変更・カーネルライブパッチ・UWN#435

wilyのFinal Beta

15.10（wily）の開発がFinal Betaを通過しました。

ここから10月8日のKernel Freezeを経て基本構成がほぼフリーズされ、最後のQAを行い、10月22日にリリースされる予定です。現時点で致命的なバグや阿鼻叫喚の仕様はあまり多くは見つかっておらず、また、15.10では大規模な変更は（Ubuntu Phone方面以外では）加えられていないため、比較的落ち着いたリリースとなる見込みです。

SRUポリシーの変更

Ubuntuのパッケージ更新ポリシーに変化が加わりました。

Ubuntuでは正式リリースを迎えた後は、各パッケージのアップデートは「SRU」（⁠Stable Release Updates; 2014年10月24日号の注3を参照してください）と呼ばれるポリシーに縛られます。このSRUポリシーが更新されたのが今回の変化です。

この更新の最大のポイントは、一定の条件を満たせば、これまでのSRUでは許されなかった更新が可能になったことです。

具体的な条件は次の通りで、要約すると「アップデートするといきなり挙動が変わったり、壮絶なバグが発生しないことがCIベースの自動テストによって保証されているのであれば許す」というルールが加わった形です。

upstreamでAPI/ABIを含めた自動テストが行われており、更新が十分に信頼できる。
パッケージングの途中で当該のテストを走らせることができ、Ubuntuのリリース対象アーキテクチャすべてでテストが通る。
autopkgtestを通している。

これに伴って、「⁠SRUポリシーの例外措置」にあたるMRE（Micro Release Exception）も撤廃され、上記の例外事項だけで管理されることになりました。もともとMREの対象となっていた各種ソフトウェアはこれらの条件をある程度は満たしており、そのままスライドする形です[1]⁠。

また、この更新にはもう一つ大きなポイントとして「LTSに対する新機能のバックポートを含むパッケージについても、一定の条件が満たされれば許す」というルールが加わっています。

条件は、「⁠LTSにおいては、既存の挙動と変化がなく、リグレッションを引き起こす可能性が十分に小さいと考えられ、アップデートにおいても問題がない新バージョンからバックポートしたもの」であれば、これまでのSRUポリシーを越えて（＝機能拡張が含まれるものであっても）投入できるようになったことです[2]⁠。

これらの変更により、「⁠新バージョンでは便利な新機能が追加されているのに、LTSのパッケージは古いのでおいしいところが使えない」「⁠Ubuntuのリリースタイミングの3日後にupstreamの新バージョンがリリースされたのに、タッチの差で便利な機能が入らなかった」といった事態が発生しにくくなるはずです。

ポリシー変更は即日適用となるため、15.10（wily）は、これまでとは少しだけ違ったパッケージアップデートが行われるはずです。

Kernel Live Patching

Linux Kernel 4.0には、「⁠再起動なしにカーネルを更新できる」機能であるkGraft/kPatch（前者がSUSE製、後者がRed Hat製の実装）利用可能にする新機能、『⁠Kernel Live Patching』が投入されています。

これについてubuntu-server MLで「16.04ではライブパッチは使えるようになるのかい？」という質問をした人が現れました。回答は、「⁠今ライブパッチを実用できるか調査中なんだ」というものです。

これが『うまく動けば⁠』⁠、カーネル更新後の再起動が不要になるでしょう[3]⁠。

[3]きちんと動かせる状態にするにはディストリビューション側の担当者の努力と汗と涙が必要です。迂闊に導入すると「カーネルをアップデートして再起動している際、無事にブートすることを祈るが、たいていは無事に起動してくる」という定例行事が、「⁠カーネルをアップデートしている間、祈りを欠かしてはならない。日取りや普段の行いが悪いと高確率でマシンが止まる」というヘビーな行事になってしまう可能性があります。また、この機能が投入されてもinitデーモンや、どこで動いているのかさっぱりわからないが何かから依存されているらしきライブラリ、あるいはKMSと連携して動作するディスプレイサーバー等はOSまるごと再起動する以外に現実的な再起動方法がない、という都合から、「⁠対処方法：アップデータを適用の上、システムを再起動してください」という文字列がなくなるとは限りません。サーバーとして動作させているシステムではこうしたものはカーネル以外にはglibc（とNetworkManagerとsystemd。ただしこの2つは、一応は適切な再起動メカニズムを備えています。うまく動くとは限りませんが）ぐらいなので、主にサーバー向けで期待される新機能です。

UWN#435

Ubuntu Weekly Newsletter #435がリリースされています。

その他のニュース

OpenSSH 7.0/7.0pを利用している場合にssh-dssを使って認証するための設定について。
aarch64（64bit ARM）搭載したHikey Dragonboard 410cをデスクトップ用途に使ってみたレポート。
ワシントンDCで行われた、Juju Charmの開発者会議のレポート。
Jujuを使って作る、Hadoop+HDFS+Spark+YARN+syslogによるログ解析基盤について。
RPi2を使ったリモート電源システムについて。
Snappyやclickパッケージを踏まえた、『⁠未来のソフトウェア配布システム』がやってこようとしている、というDaniel Holbach（Snappy関連の開発者）による解説。

今週のセキュリティアップデート

usn-2743-1、usn-2743-2、usn-2743-3：Firefox・Ubufoxのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003115.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003116.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003118.html
Ubuntu 15.04・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2015-4500, CVE-2015-4501, CVE-2015-4502, CVE-2015-4504, CVE-2015-4506, CVE-2015-4507, CVE-2015-4508, CVE-2015-4509, CVE-2015-4510, CVE-2015-4512, CVE-2015-4516, CVE-2015-4517, CVE-2015-4519, CVE-2015-4520, CVE-2015-4521, CVE-2015-4522, CVE-2015-7174, CVE-2015-7175, CVE-2015-7176, CVE-2015-7177, CVE-2015-7180を修正します。
Firefox 41.0のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、Firefoxを再起動してください。

usn-2744-1：Apportのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003117.html
Ubuntu 15.04・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2015-1338を修正します。
Apportのカーネルクラッシュダンプファイルの取り扱いに問題があり、古典的symlink攻撃等が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-2745-1：QEMUのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003119.html
Ubuntu 15.04・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2015-5239, CVE-2015-5278, CVE-2015-5279, CVE-2015-6815, CVE-2015-6855を修正します。
対処方法：アップデータを適用の上、QEMU仮想マシンを再起動してください。

usn-2746-1、usn-2746-2：python-simplestreamsのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003120.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003121.html
Ubuntu 15.04・14.04 LTS用のアップデータがリリースされています。CVE-2015-1337を修正します。
特定の条件下で、GPG署名を正しくチェックしないことがありました。
対処方法：アップデータを適用の上、python-simplestreamsとpython3-simplestreamsを利用しているサービスを再起動してください。
備考：usn-2746-1は更新のミスのため、MAASのPXEを機能不全に陥らせる問題がありました。usn-2746-2を利用してください。

usn-2747-1：NVIDIA graphics driversのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003122.html
Ubuntu 15.04・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2015-5950を修正します。
NVIDIAのGPUドライバが作成するデバイスノードに特定のioctlを行うことで、root権限を奪取することが可能でした。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-2748-1：Linux kernelのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003123.html
Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2015-5697, CVE-2015-6252を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-2749-1：Linux kernel (Trusty HWE)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003124.html
Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2015-5697, CVE-2015-6252を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-2751-1：Linux kernel (Vivid HWE)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003125.html
Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2015-5697, CVE-2015-6252を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-2750-1：Linux kernel (Utopic HWE)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003126.html
Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2015-5707を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-2752-1：Linux kernelのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003127.html
Ubuntu 15.04用のアップデータがリリースされています。CVE-2015-5697, CVE-2015-6252を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-2753-1：usn-2753-2 LXCのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003128.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003131.html
Ubuntu 15.04・14.04 LTS用のアップデータがリリースされています。CVE-2015-1335を修正します。
lxc-startに問題があり、AppArmorによる保護を迂回することが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。
備考：当初リリースされたアップデータを利用していると、bind mountに絶対パスを記載したコンテナが起動できない問題がありました。更新版を利用してください。

usn-2755-1：Cyrus SASLのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003129.html
Ubuntu 15.04用のアップデータがリリースされています。CVE-2013-4122を修正します。
特定のパスワードソルトが含まれた認証データを扱うと機能不全に陥る問題がありました。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-2756-1：rpcbindのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003130.html
Ubuntu 15.04・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2015-7236を修正します。
rpcbindに特定のRPCを送出することで、メモリ破壊を伴うクラッシュを発生させることが可能でした。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-2758-1：PHPのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003132.html
Ubuntu 15.04・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2015-5589, CVE-2015-5590, CVE-2015-6831, CVE-2015-6832, CVE-2015-6833, CVE-2015-6834, CVE-2015-6835, CVE-2015-6836, CVE-2015-6837, CVE-2015-6838を修正します。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。