HWE Kernelの新しいポリシー
Ubuntuでのカーネルとのつきあいかたがまた少し変化しそうです。
Ubuntuでは、LTSリリースでは「HWE Kernel」(旧名称Backport Kernel)を用いることで、「リリースされた時よりも新しいバージョンのカーネル」を導入して利用できます。たとえば、14.04 LTSでは、14.10・15.04・15.10・16.04 LTSに由来する、複数のバージョンのカーネルを利用することができました[1]。
これまでのHWE Kernelのサポート期間に関するポリシーは次の通りです。
- リリースされた時のカーネルは、サポートが切れるタイミングまで利用できる(=オリジナルリリースの5年後まで利用できる)。
- HWEカーネルとしてリリースされた、『次のバージョンのLTS』までのカーネル」は、『次のバージョンのLTS』ベースのHWEカーネルがリリースされるまで利用できる。
- 『次のバージョンのLTS』ベースのカーネルも、サポートが切れるタイミングまで利用できる(=『次のバージョンのLTS』がリリースされるのはオリジナルリリースの2年後なので、そこから5年後までの3年間利用できる)。
このポリシーは、14.04 LTSを例にすると、次のように展開されます。
- 14.04 LTSオリジナルのカーネル(3.13系)は、2014年4月〜2019年4月までサポートされる。
- 14.10ベースのHWE Kernel(3.16系)は、2014年10月〜2016年4月までサポートされる。
- 15.04ベースのHWE Kernel(3.19系)は、2015年4月〜2016年4月までサポートされる。
- 15.10ベースのHWE Kernel(4.2系)は、2015年10月〜2016年4月までサポートされる。
- 16.04 LTSベースのHWE Kernel(4.4系)は、2016年4月~2019年4月までサポートされる。
これは言い換えると、LTSでは「次のLTSまでの間、各Ubuntuの好きなカーネルを利用できる」というオプションを提供していたことになります。
しかし、16.04 LTSではこのポリシーが若干後退し、「Rolling HWE Kernel」という新しいアプローチが採用される見込みです。
このポリシーはその名前の通り、「より新しいHWE Kernelがリリースされるたびに、一つ古いバージョンのHWE Kernelのサポートは終了する」というものです。HWE Kernelは基本的に「より新しいバージョンのUbuntu」と同時に提供されるので、半年ごとにサポートされるHWE Kernelが切り替わっていくことになります。
16.04 LTSを例にすると、次のように展開されます。
- (変化なし)16.04 LTSオリジナルのカーネルは、2016年4月~2021年4月までサポートされる。
- (半年に短縮)16.10ベースのHWE Kernelは、2016年10月〜2017年4月までサポートされる。
- (半年に短縮)17.04ベースのHWE Kernelは、2017年4月〜2017年10月までサポートされる。
- (半年に短縮)17.10ベースのHWE Kernelは、2017年10月〜2018年4月までサポートされる。
- (変化なし)18.04 LTSベースのHWE Kernelは、2018年4月〜2021年4月までサポートされる。
これにより、今後のLTSでは次の3つの選択肢から検討する必要があります。
- (変化なし)オリジナルのカーネルを使う。
- (影響あり)半年ごとの乗り換えを前提としてHWE Kernelを使う。これまでとは異なり、「自分達にとって都合のよいバージョンのHWE Kernelを、次のLTSのタイミングまで使う」という方法論は取れない。
- (変化なし)次のLTSが出てからHWE Kernelを使う。
これまでに比べると若干選択肢が狭まることになってしまいますが、ある意味では強制的なアップデートになるため、これまでよりも確実なテストが行われることが期待できます。
なお、これまでのLTSのポイントリリースでは、原則無条件でHWE Kernelが導入されるモデルが採用されていましたが、この修正を機に、インストール時にオリジナルのカーネルとHWE Kernelを選択できるようになります。
UWN#489
Ubuntu Weekly Newsletter #489がリリースされています。
今週のセキュリティアップデート
- usn-3136-1:LXCのセキュリティアップデート
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2016-November/003637.html
- Ubuntu 16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2016-8649を修正します。
- lxc-attachにディレクトリトラバーサルを許す問題がありました。LXCコンテナにアクセスできるユーザーが悪意を持ってディレクトリ構造をセットすることで、コンテナ外にアクセスすることが可能です。
- 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
- usn-3137-1:MoinMoinのセキュリティアップデート
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2016-November/003638.html
- 16.10・16.04 LTS・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2016-7146, CVE-2016-7148, CVE-2016-9119を修正します。
- 特定の入力によるXSSが可能でした。
- 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
- usn-3135-2:GStreamer Good Pluginsのセキュリティアップデート
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2016-November/003639.html
- Ubuntu 16.10・16.04 LTS・14.04 LTS・12.04 LTS用のアップデータがリリースされています。
- usn-3135-1の修正が不十分だったため、攻撃パスが残留している状態でした。
- 対処方法:通常の場合、アップデータを適用することで問題を解決できます。