Ubuntu Weekly Topics

2015年10月2日号wilyのFinal Beta・SRUポリシーの変更・カーネルライブパッチ・UWN#435

wilyのFinal Beta

15.10(wily)の開発がFinal Betaを通過しました

ここから10月8日のKernel Freezeを経て基本構成がほぼフリーズされ、最後のQAを行い、10月22日にリリースされる予定です。現時点で致命的なバグや阿鼻叫喚の仕様はあまり多くは見つかっておらず、また、15.10では大規模な変更は(Ubuntu Phone方面以外では)加えられていないため、比較的落ち着いたリリースとなる見込みです。

SRUポリシーの変更

Ubuntuのパッケージ更新ポリシーに変化が加わりました。

Ubuntuでは正式リリースを迎えた後は、各パッケージのアップデートは「SRU」⁠Stable Release Updates; 2014年10月24日号の注3を参照してください)と呼ばれるポリシーに縛られます。このSRUポリシーが更新されたのが今回の変化です。

この更新の最大のポイントは、一定の条件を満たせば、これまでのSRUでは許されなかった更新が可能になったことです。

具体的な条件は次の通りで、要約すると「アップデートするといきなり挙動が変わったり、壮絶なバグが発生しないことがCIベースの自動テストによって保証されているのであれば許す」というルールが加わった形です。

  • upstreamでAPI/ABIを含めた自動テストが行われており、更新が十分に信頼できる。
  • パッケージングの途中で当該のテストを走らせることができ、Ubuntuのリリース対象アーキテクチャすべてでテストが通る。
  • autopkgtestを通している。

これに伴って、⁠SRUポリシーの例外措置」にあたるMRE(Micro Release Exception)も撤廃され、上記の例外事項だけで管理されることになりました。もともとMREの対象となっていた各種ソフトウェアはこれらの条件をある程度は満たしており、そのままスライドする形です[1]⁠。

また、この更新にはもう一つ大きなポイントとして「LTSに対する新機能のバックポートを含むパッケージについても、一定の条件が満たされれば許す」というルールが加わっています。

条件は、⁠LTSにおいては、既存の挙動と変化がなく、リグレッションを引き起こす可能性が十分に小さいと考えられ、アップデートにおいても問題がない新バージョンからバックポートしたもの」であれば、これまでのSRUポリシーを越えて(=機能拡張が含まれるものであっても)投入できるようになったことです[2]⁠。

これらの変更により、⁠新バージョンでは便利な新機能が追加されているのに、LTSのパッケージは古いのでおいしいところが使えない」⁠Ubuntuのリリースタイミングの3日後にupstreamの新バージョンがリリースされたのに、タッチの差で便利な機能が入らなかった」といった事態が発生しにくくなるはずです。

ポリシー変更は即日適用となるため、15.10(wily)は、これまでとは少しだけ違ったパッケージアップデートが行われるはずです。

Kernel Live Patching

Linux Kernel 4.0には、⁠再起動なしにカーネルを更新できる」機能であるkGraft/kPatch(前者がSUSE製、後者がRed Hat製の実装)利用可能にする新機能、⁠Kernel Live Patching』が投入されています。

これについてubuntu-server MLで16.04ではライブパッチは使えるようになるのかい?という質問をした人が現れました。回答は、今ライブパッチを実用できるか調査中なんだというものです。

これが『うまく動けば⁠⁠、カーネル更新後の再起動が不要になるでしょう[3]⁠。

UWN#435

Ubuntu Weekly Newsletter #435がリリースされています。

その他のニュース

  • OpenSSH 7.0/7.0pを利用している場合にssh-dssを使って認証するための設定について。
  • aarch64(64bit ARM)搭載したHikey Dragonboard 410cをデスクトップ用途に使ってみたレポート
  • ワシントンDCで行われた、Juju Charmの開発者会議のレポート。
  • Jujuを使って作る、Hadoop+HDFS+Spark+YARN+syslogによるログ解析基盤について。
  • RPi2を使ったリモート電源システムについて。
  • Snappyやclickパッケージを踏まえた、⁠未来のソフトウェア配布システム』がやってこようとしている、というDaniel Holbach(Snappy関連の開発者)による解説

今週のセキュリティアップデート

usn-2743-1usn-2743-2usn-2743-3:Firefox・Ubufoxのセキュリティアップデート
usn-2744-1:Apportのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003117.html
  • Ubuntu 15.04・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2015-1338を修正します。
  • Apportのカーネルクラッシュダンプファイルの取り扱いに問題があり、古典的symlink攻撃等が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2745-1:QEMUのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003119.html
  • Ubuntu 15.04・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2015-5239, CVE-2015-5278, CVE-2015-5279, CVE-2015-6815, CVE-2015-6855を修正します。
  • 対処方法:アップデータを適用の上、QEMU仮想マシンを再起動してください。
usn-2746-1usn-2746-2:python-simplestreamsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003120.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003121.html
  • Ubuntu 15.04・14.04 LTS用のアップデータがリリースされています。CVE-2015-1337を修正します。
  • 特定の条件下で、GPG署名を正しくチェックしないことがありました。
  • 対処方法:アップデータを適用の上、python-simplestreamsとpython3-simplestreamsを利用しているサービスを再起動してください。
  • 備考:usn-2746-1は更新のミスのため、MAASのPXEを機能不全に陥らせる問題がありました。usn-2746-2を利用してください。
usn-2747-1:NVIDIA graphics driversのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003122.html
  • Ubuntu 15.04・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2015-5950を修正します。
  • NVIDIAのGPUドライバが作成するデバイスノードに特定のioctlを行うことで、root権限を奪取することが可能でした。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
usn-2748-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003123.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2015-5697, CVE-2015-6252を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2749-1:Linux kernel (Trusty HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003124.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2015-5697, CVE-2015-6252を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2751-1:Linux kernel (Vivid HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003125.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2015-5697, CVE-2015-6252を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2750-1:Linux kernel (Utopic HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003126.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2015-5707を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2752-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003127.html
  • Ubuntu 15.04用のアップデータがリリースされています。CVE-2015-5697, CVE-2015-6252を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2753-1usn-2753-2 LXCのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003128.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003131.html
  • Ubuntu 15.04・14.04 LTS用のアップデータがリリースされています。CVE-2015-1335を修正します。
  • lxc-startに問題があり、AppArmorによる保護を迂回することが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
  • 備考:当初リリースされたアップデータを利用していると、bind mountに絶対パスを記載したコンテナが起動できない問題がありました。更新版を利用してください。
usn-2755-1:Cyrus SASLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003129.html
  • Ubuntu 15.04用のアップデータがリリースされています。CVE-2013-4122を修正します。
  • 特定のパスワードソルトが含まれた認証データを扱うと機能不全に陥る問題がありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2756-1:rpcbindのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-September/003130.html
  • Ubuntu 15.04・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2015-7236を修正します。
  • rpcbindに特定のRPCを送出することで、メモリ破壊を伴うクラッシュを発生させることが可能でした。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
usn-2758-1:PHPのセキュリティアップデート

おすすめ記事

記事・ニュース一覧