Ubuntu Core 24の一般提供開始、Ubuntu 23.10のEOL

Ubuntu Core 24の一般提供開始

「通常の」Ubuntu 24.04 LTSに続いて、Ubuntu Core 24がリリースされました（リリースについてのblog記事の日本語版）[1]。Ubuntu Coreは、Ubuntu（と、その中でも特にSnap）を中心にした、IoTやロボティクス、エッジデバイスや組み込みなどの環境に向けたOTA機能を備えた「開発からデプロイまでを同じ環境で行える」OSです。

「開発からデプロイまで同じ環境」というのは、開発環境としてUbuntu Desktopを、そしてターゲットデバイスにUbuntu Coreを利用することで、ワークステーションと組み込みデバイスで同じアプリケーションを走らせることができるという意味で、Ubuntuが動く環境があれば、非常に簡単にUbuntu Coreイメージを生成できるようになっています。

Ubuntu Core 24ではサポートプラットフォームにRISC-Vが追加されていること（ただしSupported testing platformsの中にはまだリストされていません⁠）⁠、12年のサポート期間が明言されていること、そしてLandscapeによる管理機能の拡充とAzure IoT Edgeへの対応が主に謳われています。

Ubuntuユーザーにとって直接的に何か変わるわけではありませんが（ただし、もしかすると「この～～を使っている工場ではUbuntuが使われている」だとか、「⁠テレビで見ているロボコンの、ロボットを制御しているOSがUbuntu（＋ROS⁠）⁠」⁠「⁠そこを通った車のOSがUbuntu」といったことにはつながります⁠）⁠、Ubuntu Coreベースの次世代デスクトップのコアコンポーネントはUbuntu Coreとかなりの部分を共有すること、そしてRaspberry Piなどの小型デバイスを使う手法として利用できることもあり、触ってみても良いかもしれません。

Ubuntu 23.10のEOL

Ubuntu 23.10は、7月11日にEOLを迎えます。EOL日以降、どのようなクリティカルなバグや脆弱性であってもアップデータは提供されなくなります。現在利用中のシステムは、できるだけ速やかにアップグレードしてください。

その他のニュース

Milk-Vが、新しいシリーズとしてJupiterというモデルのリリースを予告しています。具体性はまだあまり強くないものの、「⁠PCI-eスロットを持つ」「⁠RISC-V PC」向けマザーボードということで、「⁠デスクトップ用途に使えるRISC-Vボード」というものが想像されます。

今週のセキュリティアップデート

usn-6788-1：WebKitGTKのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008314.html
Ubuntu 24.04 LTS・23.10・22.04 LTS用のアップデータがリリースされています。CVE-2024-27834を修正します。
対処方法：アップデータを適用の上、WebKitGTKを利用するソフトウェアを再起動してください。

usn-6791-1：Unboundのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008315.html
Ubuntu 24.04 LTS・23.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-33655を修正します。
悪意ある入力を行うことで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6793-1：Gitのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008316.html
Ubuntu 24.04 LTS・23.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-32002, CVE-2024-32004, CVE-2024-32020, CVE-2024-32021, CVE-2024-32465を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6794-1：FRRのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008317.html
Ubuntu 24.04 LTS・23.10・22.04 LTS用のアップデータがリリースされています。CVE-2024-31948, CVE-2024-31950, CVE-2024-31951, CVE-2024-34088を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6792-1：Flask-Securityのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008318.html
Ubuntu 22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。
悪意ある入力を行うことで、ユーザーを任意のURLに誘導することが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6795-1：Linux kernel (Intel IoTG)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008319.html
Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2023-47233, CVE-2023-52435, CVE-2023-52486, CVE-2023-52489, CVE-2023-52491, CVE-2023-52492, CVE-2023-52493, CVE-2023-52494, CVE-2023-52498, CVE-2023-52530, CVE-2023-52583, CVE-2023-52587, CVE-2023-52588, CVE-2023-52594, CVE-2023-52595, CVE-2023-52597, CVE-2023-52598, CVE-2023-52599, CVE-2023-52601, CVE-2023-52602, CVE-2023-52604, CVE-2023-52606, CVE-2023-52607, CVE-2023-52608, CVE-2023-52614, CVE-2023-52615, CVE-2023-52616, CVE-2023-52617, CVE-2023-52618, CVE-2023-52619, CVE-2023-52622, CVE-2023-52623, CVE-2023-52627, CVE-2023-52631, CVE-2023-52633, CVE-2023-52635, CVE-2023-52637, CVE-2023-52638, CVE-2023-52642, CVE-2023-52643, CVE-2024-1151, CVE-2024-2201, CVE-2024-23849, CVE-2024-26592, CVE-2024-26593, CVE-2024-26594, CVE-2024-26600, CVE-2024-26602, CVE-2024-26606, CVE-2024-26608, CVE-2024-26610, CVE-2024-26614, CVE-2024-26615, CVE-2024-26622, CVE-2024-26625, CVE-2024-26627, CVE-2024-26635, CVE-2024-26636, CVE-2024-26640, CVE-2024-26641, CVE-2024-26644, CVE-2024-26645, CVE-2024-26660, CVE-2024-26663, CVE-2024-26664, CVE-2024-26665, CVE-2024-26668, CVE-2024-26671, CVE-2024-26673, CVE-2024-26675, CVE-2024-26676, CVE-2024-26679, CVE-2024-26684, CVE-2024-26685, CVE-2024-26689, CVE-2024-26695, CVE-2024-26696, CVE-2024-26697, CVE-2024-26698, CVE-2024-26702, CVE-2024-26704, CVE-2024-26707, CVE-2024-26712, CVE-2024-26715, CVE-2024-26717, CVE-2024-26720, CVE-2024-26722, CVE-2024-26808, CVE-2024-26825, CVE-2024-26826, CVE-2024-26829, CVE-2024-26910, CVE-2024-26916, CVE-2024-26920を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6779-2：Firefoxの再アップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008320.html
Ubuntu 20.04 LTS用のアップデータがリリースされています。
Firefox 126.0.1のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、Firefoxを再起動してください。

usn-6787-1：Jinja2のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008321.html
Ubuntu 24.04 LTS・23.10・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2024-34064を修正します。
悪意ある入力を行うことで、XSSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6797-1：Intel Microcodeのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008322.html
Ubuntu 24.04 LTS・23.10・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2023-22655, CVE-2023-28746, CVE-2023-38575, CVE-2023-39368, CVE-2023-43490, CVE-2023-45733, CVE-2023-45745, CVE-2023-46103, CVE-2023-47855を修正します。
IPU 2024.1相当のマイクロコードアップデータのUbuntuパッケージ版です。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-6796-1：TPM2 Software Stackのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008323.html
Ubuntu 24.04 LTS・23.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-22745, CVE-2024-29040を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6798-1：GStreamer Base Pluginsのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008324.html
Ubuntu 24.04 LTS・23.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-4453を修正します。
悪意ある加工を施したファイルを処理させることで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6799-1：Werkzeugのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008325.html
Ubuntu 24.04 LTS・23.10・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2024-34069を修正します。
悪意ある入力を行うことで、任意のコードの実行が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6800-1：browserify-signのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008326.html
Ubuntu 23.10・22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2023-46234を修正します。
悪意ある入力を行うことで、署名の偽造が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6801-1：PyMySQLのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008327.html
Ubuntu 24.04 LTS・23.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-36039を修正します。
悪意あるJSON入力を行うことで、SQLインジェクションが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6802-1：PostgreSQLのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008328.html
Ubuntu 24.04 LTS・23.10・22.04 LTS用のアップデータがリリースされています。CVE-2024-4317を修正します。
初期状態でセットアップされているビルトインビューの認証設定が適切に行われていませんでした。
対処方法：アップデータを適用の上で、/usr/share/doc/postgresql-*/changelog.Debian.gz にある手順に従ってください。このアップデータはPostgreSQLの新規インストール時の問題のみを修正します（既存のシステムへの修正は、手動で行う必要があります⁠）⁠。

usn-6803-1：FFmpegのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008329.html
Ubuntu 24.04 LTS・23.10・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2023-49501, CVE-2023-49502, CVE-2023-49528, CVE-2023-50007, CVE-2023-50008, CVE-2023-50009, CVE-2023-50010, CVE-2023-51793, CVE-2023-51794, CVE-2023-51795, CVE-2023-51796, CVE-2023-51798, CVE-2024-31578, CVE-2024-31582, CVE-2024-31585を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6804-1：GNU C Libraryのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-May/008330.html
Ubuntu 24.04 LTS・23.10・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2024-33599, CVE-2024-33600, CVE-2024-33601, CVE-2024-33602を修正します。
対処方法：アップデータを適用の上、nscdを再起動してください。