2022年1月21日号　Ubuntu Security Guide、jammyの開発/test rebuildとOEMリポジトリのケア

Ubuntu Security Guide

Canonicalから（主にUbuntu ProやAdvantageのユーザー向けに）「⁠Ubuntu Security Guide」と名付けられたツールキットがリリースされました。これは、DISA（アメリカ国防情報システム局）のSTIGとCISベンチマーク要件を満たすことができる、「⁠セキュアな設定のUbuntu」を実現するためのツールキット（設定をひとまとめにし、簡単に適用できるようにしたもの、というニュアンスの「ツールキット⁠」⁠）です。

Ubuntu Security GuideはUbuntu Advantageで利用されるubuntu-advantage-toolsのサブモジュールとして実現されており、CISベンチマークの実施（と、不足点の洗い出しと、準拠した状態への変更）をセルフサービスで実現できます。STIG（Security Technical Implementation Guide; セキュリティ技術実装ガイド。注1）の方針は（すでに実現されていた）FIPS準拠と近似しており、「⁠UbuntuがSTIGを取れることは分かっていた」という話ではあるのですが、ツールを使って一括で設定でき、カスタマイズ（テーラリング）も可能という点ではUbuntu Serverに便利なツールが加わったと言うことができそうです。

[1]STIGはDISAによって提供されている「高セキュリティ環境でのあたりまえ」を実現するためのガイドライン、という性質のものです。アメリカの政府機関への導入の前提条件になり、また、一定の考慮が行われたものであるという意味では強力な基準ではあるのですが、たとえば「ホワイトハウスで使えるようになった」ということはあまり強く意味しません。あくまで「セキュリティ対応として当たり前の要件」を満たしやすくなるというもので、STIGだけを前面に押し出すと「特技はなんですか？」「⁠酸素を使って呼吸できます！」「⁠古生代なら凄かったかもしれないんですが、それを特技と言われても……」というようなニュアンスの悲しみに満ちた漫才を発生させるリスクがあります。

jammyの開発/test rebuildとOEMリポジトリのケア

jammyのtest rebuildが開始されています[2]⁠。これそのものは特筆すべきイベントではありませんが、22.10を見据えてGCC 12でのビルドが試されているというのがポイントで、開発に参加してみたい「ビルドエラーの解決なら任せろ」というタイプの人にとっては良いチャンスになるはずです[3]⁠。

また、20.04 LTSで導入されたOEM向け専用リポジトリ（OEM archive）について、22.04への更新ではどうするべきかという議論が開始されています。状況としては次のものです。

20.04 LTSでは、各社のOEMデバイス（主に特定のラップトップ等の「Ubuntuがプリインストールされた（もしくは専用のインストールイメージがある）デバイス⁠」⁠）専用のメタパッケージを導入し、OEM archive経由でそれをアップデートしていることがあった。
これはあくまでも「20.04 LTS向け」としてデザインされていた。
jammy（22.04 LTS）でOEM archiveをどうするべきか、何か明確なデザインがあったかどうかがあまりさだかではない（もしかすると、ないもしれない⁠）⁠。
しかし現実として、現在20.04 LTS（＋OEM archive）を利用している人が22.04 LTSに問題なく（そして手間なく）アップデートできるようにする必要がある。いったい何が必要なのだろう？
もしかして、今あるメタパッケージを単純に22.04 LTS用にリビルドすればいい？そういうもの？

やや不安になる部分もある議論ではありますが、こうした議論が表に出てくるということは一定の健全さの証でもあります。とはいえ（普通のUbuntuを使っているユーザーには関係ないのですが）着地点は気になるところであり、今後が気になるところです。

その他のニュース

GPD Pocket3用のUbuntu Mateが間もなくリリースされるという話題。

今週のセキュリティアップデート

usn-5043-2：Exiv2の再アップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006342.html
Ubuntu 21.10・21.04・20.04 LTS用のアップデータがリリースされています。
usn-5043-1に起因して、別条件のDoSの余地がありました（LP#1941752⁠）⁠。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5222-1：Apache Log4j 2のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006343.html
Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-44832, CVE-2021-45105を修正します。
Log4Shellとともに発見された、限定的な条件でのリモートコード実行とDoSを修正します。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5224-1, usn-5224-2：Ghostscriptのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006344.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006349.html
Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2021-45944, CVE-2021-45949を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能です。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5225-1：lxmlのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006345.html
Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2021-43818を修正します。
悪意ある入力を行うことで、任意のコードの実行が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5210-2：Linux kernelの再アップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006346.html
Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。usn-5210-1の導入によって、SEVを有効にした環境でブートに失敗する状態に陥っていました（LP#1956575⁠）⁠。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-5226-1：systemdのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006347.html
Ubuntu 21.10・21.04・20.04 LTS用のアップデータがリリースされています。CVE-2021-3997を修正します。
悪意ある操作を行うことで、ローカルユーザーがDoS・不定の動作を誘発することができました。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5223-1：Apache Log4j 1.2のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006348.html
Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-4104を修正します。
設定ファイルが編集可能という前提において、DoS・任意のコードの実行が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5227-1, usn-5227-2：Pillowのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006350.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006352.html
Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2021-23437, CVE-2021-34552, CVE-2022-22815, CVE-2022-22816, CVE-2022-22817を修正します。
悪意ある加工を施したファイルを処理させることで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5229-1：Firefoxのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006351.html
Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。
Firefox 96.0のUbuntuパッケージ版です。CVE-2021-4140, CVE-2022-22737, CVE-2022-22738, CVE-2022-22739, CVE-2022-22740, CVE-2022-22741, CVE-2022-22742, CVE-2022-22743, CVE-2022-22745, CVE-2022-22747, CVE-2022-22748, CVE-2022-22751, CVE-2022-22752を修正します。
対処方法：アップデータを適用の上、Firefoxを再起動してください。