組み込み用Ubuntu “Ubuntu Core 18”のリリース
Canonicalから、Ubuntu 18.04 LTSをベースにした「組み込み用」Ubuntu、『Ubuntu Core 18』がリリースされました。「Canonical today published Ubuntu Core 18, bringing the popular Ubuntu 18.04 LTS to high-security embedded devices.」(参考訳:Canonicalは本日、Ubuntu Core 18を発表します。これはよく知られたUbuntu 18.04 LTSを、高いセキュリティの要求される組み込みデバイスにもたらすものです)という記述の通り、「Canonicalが」発表しているということと[1]、「18.04 LTS」ではなく「18」というナンバリングが採用されていることです[2]。
Ubuntu Core 18は、“Snappy” Ubuntu Coreの最初期に発表されたホワイトボックススイッチ用Ubuntu Coreや“ChillHub”[3]のような、ハードウェアリソースに余裕のあるデバイス向けの組み込みOSでとして位置づけられます。類似製品との違いは、Snapベースであることによる「署名されたバイナリ以外を動作させないように構成できる」特性と、パッケージによるアプリケーションの導入が可能なこと、そして10年間の「ローコストな」セキュリティメンテナンス[4]が提供されることであると謳われており、セキュリティ寄りのアピールが行われています。
Ubuntu Core 18はすでにダウンロード可能です。このイメージが対応するデバイスはPC(AMD64とi386。ただし基本的にはNUC用。もしくはKVM上で動作させる「テスト/開発用」環境として利用することもできます)、dragonboard、Raspberry Pi2、Raspberry Pi3、Compute Mpodule 3となっています。開発や中身の構造に興味がある場合はDevelopmentページを参照してください。
Ubuntu CoreはDell Edge Gatewayで利用できる等、すでに一定の実績を積み重ねており、インストールガイドも用意されています。
今週のセキュリティアップデート
- usn-3858-1:HAProxyのセキュリティアップデート
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-January/004727.html
- Ubuntu 18.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2018-20102, CVE-2018-20103, CVE-2018-20615を修正します。
- 悪意あるリクエストを行うことで、DoSと本来秘匿されるべき情報へのアクセスが可能でした。
- 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
- usn-3859-1:libarchiveのセキュリティアップデート
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-January/004728.html
- Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-14502, CVE-2018-1000877, CVE-2018-1000878, CVE-2018-1000880を修正します。
- 悪意ある加工を施したアーカイブを処理させることで、DoSと本来秘匿されるべき情報へのアクセスが可能でした。
- 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
- usn-3860-1, usn-3860-2:libcacaのセキュリティアップデート
- usn-3861-1, usn-3861-2:PolicyKitのセキュリティアップデート
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-January/004731.html
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-January/004732.html
- Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2018-19788を修正します。
- 極大のUIDが付与されたユーザーからのリクエストを正しく処理できず、誤って特権を付与することがありました。
- 対処方法:アップデータを適用の上、システムを再起動してください。
- usn-3862-1:Irssiのセキュリティアップデート
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-January/004733.html
- Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2019-5882を修正します。
- 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発させることが可能でした。任意のコードの実行につながると考えられます。
- 対処方法:アップデータを適用の上、irssiを再起動してください。