Ubuntu 23.04（lunar）の開発 / リリースまであと一週間、HWEカーネル向けのLivepatch

lunar（Ubuntu 23.04）の開発 / リリースまであと一週間

4月20日のリリースに向けて、lunar（Ubuntu 23.04）の開発はQA（と、リリースに間に合あわせつつ、機能を調整する作業）に専念する時期に入りました。とはいえ、現状でまだGCP向けの各種パッケージの調整や、net-snmpのちょっとした修正（Docker上のオーバーレイファイルシステムを検出する機能の追加）といった、『⁠大規模な影響を及ぼすわけではないものの、リリースには間に合わせておきたい修正』が投じられる段階で、「⁠QAに専念」と言える段階まではもう数日を要することになりそうです。

調整作業の横ではリリースノートの準備も進められており、カーネル（今回は6.2）やGNOME 44といった、大きな変更についての記載が充実しつつあります。

もっともリリースノート全体としては、まだ現時点では「tbd」（⁠to be determined; あとで埋める）や22.10のリリースノートから部分的にコピーした記述、空欄、そして昨年10月の時点ですでに投入されていたプレースホルダーが目立つ段階で、今回からオフィシャルフレーバーになるUbuntu CinnamonやEdbuntuなどのリリースノートへのリンクもありません。「⁠これが23.04のリリースノートです」と言える段階になるのはリリース日である20日の直前[1]となるでしょう。

HWEカーネル向けのLivepatch

Ubuntuには「再起動しなくてもカーネルを更新できる」機能として、「⁠Livepatch」と呼ばれる機能が存在します。また一方、UbuntuのLTSリリースでは、新規ハードウェアやカーネルの新機能を取り込むために、「⁠HWE」（⁠Hardware Enablement Kernels）と呼ばれる追加リリースカーネルが存在します。

これまでLivepatchは「LTSのリリース時のカーネル」と「次のLTSのカーネルをベースにしたHWEカーネル」のみに提供されていましたが、23.04のリリースからは、「⁠あいだに来る」HWEカーネルについてもサポートされるようになります。

もっとも、これらのHWEカーネルはそのポート元である「通常版」Ubuntuのサポート期間[2]の影響から、それぞれのカーネルのサポート期間がおおむね6〜9ヶ月（最後にくる「次のLTS」をベースにしたものだけが2年間）に限られます。HWEカーネルを使いつつLivepatchを使う場合、このサポート終了を意識したメンテナンス計画を立てておく必要があります[3]。あまり多くはないものの、「⁠この機能を十分に使うためには最新のカーネルが必要である」という条件と、「⁠そう簡単に再起動できるわけではないものの、カーネル由来の脆弱性に注意を払う必要がある」という条件が同居してしまうことがありうるため、こうした場合に役に立つはずです。

今週のセキュリティアップデート

usn-5997-1：IPMItoolのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-April/007260.html
Ubuntu 20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2020-5208を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5999-1：trim-newlinesのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-April/007261.html
Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-33623を修正します。
悪意ある入力を行うことで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5998-1：Apache Log4jのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-April/007262.html
Ubuntu 20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2019-17571, CVE-2022-23302, CVE-2022-23305, CVE-2022-23307を修正します。
悪意ある入力を行うことで、任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-5996-1：Liblouisのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-April/007263.html
Ubuntu 22.10・22.04 LTS・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2023-26767, CVE-2023-26768, CVE-2023-26769を修正します。
悪意ある加工を施したファイルを処理させることで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6000-1 Linux kernel (BlueField)：のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-April/007264.html
Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2022-3169, CVE-2022-3424, CVE-2022-3435, CVE-2022-3521, CVE-2022-3545, CVE-2022-3623, CVE-2022-36280, CVE-2022-41218, CVE-2022-4139, CVE-2022-42328, CVE-2022-42329, CVE-2022-47520, CVE-2022-47929, CVE-2023-0045, CVE-2023-0266, CVE-2023-0394, CVE-2023-0461, CVE-2023-1382, CVE-2023-20938, CVE-2023-23454, CVE-2023-23455, CVE-2023-26607, CVE-2023-28328を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6001-1 Linux kernel (AWS)：のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-April/007265.html
Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2021-26401, CVE-2021-28711, CVE-2021-28712, CVE-2021-28713, CVE-2021-3428, CVE-2021-3659, CVE-2021-3669, CVE-2021-3732, CVE-2021-3772, CVE-2021-4149, CVE-2021-4203, CVE-2021-45868, CVE-2022-0487, CVE-2022-0494, CVE-2022-0617, CVE-2022-1016, CVE-2022-1195, CVE-2022-1205, CVE-2022-1462, CVE-2022-1516, CVE-2022-1974, CVE-2022-1975, CVE-2022-20132, CVE-2022-20572, CVE-2022-2318, CVE-2022-2380, CVE-2022-2503, CVE-2022-2663, CVE-2022-2991, CVE-2022-3061, CVE-2022-3111, CVE-2022-3303, CVE-2022-3628, CVE-2022-36280, CVE-2022-3646, CVE-2022-36879, CVE-2022-3903, CVE-2022-39188, CVE-2022-41218, CVE-2022-41849, CVE-2022-41850, CVE-2022-4662, CVE-2022-47929, CVE-2023-0394, CVE-2023-1074, CVE-2023-1095, CVE-2023-1118, CVE-2023-23455, CVE-2023-26545, CVE-2023-26607を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6003-1：Emacsのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-April/007266.html
Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2023-28617を修正します。
悪意ある加工を施したファイル名を処理させることで、任意のコードの実行が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。