16.04の開発
Ubuntu 16.04 LTSのリリースが目前に迫りました。カーネルは無事に4月8日にフリーズされ、Final BetaやRC相当のテストが行われています。新規に投入した機能やバグの修正が行われた後、16.04 LTSとしてリリースされます。
なお、サーバー用途でのUbuntu 16.04 LTSにおける大きな変更として、PHP5系列がデフォルトでは用意されません(16.04 LTSではPHP7がデフォルトです)。PHPを用いたLAMPスタックの一部としてUbuntuを利用している場合、PHP7に対応しないWebアプリケーションが動作しない可能性があるので注意してください。PHP5系列をPPAから導入することは可能です。
なお、リリースを目前には控えていますが(LTSでは良くある光景として)、ちょっとした新機能の追加が企てられたり、駆け込みで入れたパッチをrevertしたり、fontconfigが更新されたり、「FreeTypeを更新したいんだけどどう?」「ごめんちょっとエラートラッカーをリードオンリーにするね」「changelog.ubuntu.com落ちてない?」といった慌ただしいやり取りが交わされています。
Ubuntu 16.04 LTS “Xenial Xerus”は4月21日リリース予定です。
“Badlock”への対応
Sambaに、Badlockと呼ばれる脆弱性(CVE-2016-2118)が公表されました。これはSMBプロトコルそのものに近いレベルの問題で、本来なんらの権限を有していない場合でも、認証済みユーザーになりすませてしまう、というものです。SambaとMicrosoft Windowsそれぞれについてパッチがリリースされています。
Ubuntuにおいては、Badlockへの対応は少し厄介な事態になっています。
既存のUbuntu(15.10と14.04 LTS)ではSamba 4.1系列のsambaパッケージが導入されているのですが、4.1系列はupstream(samba.org)的にはEOL済のバージョンで、Badlock脆弱性に対するパッチはリリースされません。Ubuntu/Canonicalで独自のツリーを保持し、セキュリティ修正を4.2や4.3からバックポートして対応することが予定されていました。
しかし、BadlockはSambaが利用するプロトコルそのものの脆弱性であり、修正には、Sambaの非常に多くの箇所を修正する必要があります。Sambaはソースコードが大変に入り組んでおり、Sambaプロトコルを相応に把握したエンジニアでなければ修正できません。うかつに手を出すと、むしろ新しい脆弱性を売り込んでしまう可能性があります。
Sambaは同じ4.x系列の中でもマイナーバージョンの違いで大幅に中身が異なるため、より新しいバージョンに向けたパッチを単純に移植することもできません[1]。4.1系列のSambaを利用している他のディストリビューション等と連携してパッチを開発することもできていません(RHELやopenSUSE/SLES・Debianは主として4.2・4.3系列で、4.1系をいまだに利用しているのがUbuntuだけという側面もあります)。
「4.1系列のままではBadlockに対応できないが、しかし、4.1系と4.2ないし4.3系列には大きな改変が存在するので単純に置き換えることもできない」という、苦しい決断を迫られる状態になりました[2]。
4.1系を今後もメンテナンスし続けるか、あるいは4.1からの非互換を考慮の上で4.2や4.3に移行するかの考慮の末、Ubuntuでは4.3に更新するので、テストの呼びかけを行うという判断が行われました。「バグ報告はリリース版より開発版に対するものの方が遥かに通りやすい」というソフトウェア開発の大原則により、UbuntuにインストールしたSambaをヘビーに利用している場合はただちにテストを行って報告を行うのが現実的です。
また、この修正版4.3がリリースされるまでの間はBadlockに対応できていない状態になるので、上流ファイアウォールでSMBアクセスを落とす等の対策を行ってください。
なお、12.04 LTSはSamba 3.6.25であり、こちらについてはすでにバックポートされたパッチが存在するので、通常どおりのアップデートとなります。ただし、前述の通りプロトコル実装全域に修正が入っているので、予想外のバグを埋め込んでしまう可能性は常に残っています(もっとも、予想外のバグが存在するかもしれないというのはあらゆるパッチに言えることなのですが)。
UWN#461
Ubuntu Weekly Newsletter 461 #461がリリースされています。
その他のニュース
今週のセキュリティアップデート
- usn-2917-2:Firefoxの再アップデート
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2016-April/003380.html
- Ubuntu 15.10・14.04 LTS・12.04 LTS用のアップデータがリリースされています。
- usn-2917-1の副作用として、アドレスバーの検索エンジン設定が失われる問題がありました。
- 対処方法:アップデータを適用の上、Firefoxを再起動してください。
- usn-2948-2:Linux kernel (Utopic HWE) regression
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2016-April/003381.html
- Ubuntu 14.04 LTS用のアップデータがリリースされています。
- usn-2948-1の副作用として、radeonドライバ利用時に参照カウンタエラーによるクラッシュが生じる問題がありました。
- 対処方法:アップデータを適用の上、システムを再起動してください。