Ubuntu Weekly Topics

2022年1月21日号Ubuntu Security Guide、jammyの開発/test rebuildとOEMリポジトリのケア

Ubuntu Security Guide

Canonicalから(主にUbuntu ProやAdvantageのユーザー向けに)⁠Ubuntu Security Guide」と名付けられたツールキットがリリースされました。これは、DISA(アメリカ国防情報システム局)STIGCISベンチマーク要件を満たすことができる、⁠セキュアな設定のUbuntu」を実現するためのツールキット(設定をひとまとめにし、簡単に適用できるようにしたもの、というニュアンスの「ツールキット⁠⁠)です。

Ubuntu Security GuideはUbuntu Advantageで利用されるubuntu-advantage-toolsのサブモジュールとして実現されており、CISベンチマークの実施(と、不足点の洗い出しと、準拠した状態への変更)をセルフサービスで実現できます。STIG(Security Technical Implementation Guide; セキュリティ技術実装ガイド。注1の方針は(すでに実現されていた)FIPS準拠と近似しており、⁠UbuntuがSTIGを取れることは分かっていた」という話ではあるのですが、ツールを使って一括で設定でき、カスタマイズ(テーラリング)も可能という点ではUbuntu Serverに便利なツールが加わったと言うことができそうです。

jammyの開発/test rebuildとOEMリポジトリのケア

jammyのtest rebuildが開始されています[2]⁠。これそのものは特筆すべきイベントではありませんが、22.10を見据えてGCC 12でのビルドが試されているというのがポイントで、開発に参加してみたい「ビルドエラーの解決なら任せろ」というタイプの人にとっては良いチャンスになるはずです[3]⁠。

また、20.04 LTSで導入されたOEM向け専用リポジトリ(OEM archive)について、22.04への更新ではどうするべきかという議論が開始されています。状況としては次のものです。

  • 20.04 LTSでは、各社のOEMデバイス(主に特定のラップトップ等の「Ubuntuがプリインストールされた(もしくは専用のインストールイメージがある)デバイス⁠⁠)専用のメタパッケージを導入し、OEM archive経由でそれをアップデートしていることがあった。
  • これはあくまでも「20.04 LTS向け」としてデザインされていた。
  • jammy(22.04 LTS)でOEM archiveをどうするべきか、何か明確なデザインがあったかどうかがあまりさだかではない(もしかすると、ないもしれない⁠⁠。
  • しかし現実として、現在20.04 LTS(+OEM archive)を利用している人が22.04 LTSに問題なく(そして手間なく)アップデートできるようにする必要がある。いったい何が必要なのだろう?
  • もしかして、今あるメタパッケージを単純に22.04 LTS用にリビルドすればいい? そういうもの?

やや不安になる部分もある議論ではありますが、こうした議論が表に出てくるということは一定の健全さの証でもあります。とはいえ(普通のUbuntuを使っているユーザーには関係ないのですが)着地点は気になるところであり、今後が気になるところです。

その他のニュース

今週のセキュリティアップデート

usn-5043-2:Exiv2の再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006342.html
  • Ubuntu 21.10・21.04・20.04 LTS用のアップデータがリリースされています。
  • usn-5043-1に起因して、別条件のDoSの余地がありましたLP#1941752⁠。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5222-1:Apache Log4j 2のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006343.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-44832, CVE-2021-45105を修正します。
  • Log4Shellとともに発見された、限定的な条件でのリモートコード実行とDoSを修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5224-1, usn-5224-2:Ghostscriptのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006344.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006349.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2021-45944, CVE-2021-45949を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能です。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5225-1:lxmlのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006345.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2021-43818を修正します。
  • 悪意ある入力を行うことで、任意のコードの実行が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5210-2:Linux kernelの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006346.html
  • Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。usn-5210-1の導入によって、SEVを有効にした環境でブートに失敗する状態に陥っていましたLP#1956575⁠。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-5226-1:systemdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006347.html
  • Ubuntu 21.10・21.04・20.04 LTS用のアップデータがリリースされています。CVE-2021-3997を修正します。
  • 悪意ある操作を行うことで、ローカルユーザーがDoS・不定の動作を誘発することができました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5223-1:Apache Log4j 1.2のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006348.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-4104を修正します。
  • 設定ファイルが編集可能という前提において、DoS・任意のコードの実行が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5227-1, usn-5227-2:Pillowのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006350.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006352.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2021-23437, CVE-2021-34552, CVE-2022-22815, CVE-2022-22816, CVE-2022-22817を修正します。
  • 悪意ある加工を施したファイルを処理させることで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5229-1:Firefoxのセキュリティアップデート

おすすめ記事

記事・ニュース一覧