Canonicalによる『Everything LTS』/12年サポートのDockerイメージ構築サービス

Ubuntuを使った、しかしUbuntuだけではないサービスの提供が開始されます。Canonicalから、『Everything LTS』有償サービスの提供が開始されることがアナウンスされました。

これはDockerイメージを設計＆構築（design-and-build）する有償サービスで、オープンソースソフトウェアやその依存関係にあるライブラリについて、「⁠Ubuntuに含まれているかどうかにかかわらず」（⁠whether or not that software is already packaged in Ubuntu.⁠）⁠、12年間のセキュリティメンテナンスを提供するサービスが付随するものです。作成されるDockerイメージは「Ubuntuベース」と「Distroless」の二系統である旨が示されています。

「Everything LTSは、（⁠あなたの利用するDockerイメージが依存する）オープンソースソフトウェアの依存ツリー全体向けのCVEメンテナンスです。これは、Ubuntuにdebパッケージとして収録されているかどうかに関わらず提供されます」（⁠Everything LTS means CVE maintenance for your entire open source dependency tree, including open source that is not already packaged as a deb in Ubuntu）という説明とともに、このDockerイメージの動作環境として、RHEL、VMware、Ubuntu、メジャークラウドのK8sが対象であることが示されています。

若干わかりにくい部分もあるため、プレスリリースから読み取れる利用イメージを箇条書きにしてみましょう。

まず顧客はCanonicalに、必要なソフトウェアについての情報を提供します。この「必要なソフトウェア」はオープンソースソフトウェアそのものや、あるいは「プロプライエタリソフトウェアのための実行環境」が含まれます。
Canonicalはこのソフトウェアの依存関係を調査し、必要とされるオープンソースソフトウェアを洗い出します。この上でUbuntuベース、もしくは「Distroless」でDockerイメージを設計・ビルドします。
こうして生成されたDockerイメージは、セキュリティ脆弱性への対応（⁠「⁠CVE maintenance⁠」⁠）が依存関係にあるオープンソースソフトウェアを含めた形で12年間の間提供されます。
このDockerイメージは、RHEL、VMware、Ubuntu、メジャークラウド（Azure, AWS, Google, IBM and Oracle）のK8s上での動作がサポートされます。
このDockerイメージの利用コストは、Ubuntu Pro上であれば無償、Ubuntu Pro以外の環境であれば「Ubuntu Proと同額」の費用が必要となります（厳密な記載はないものの、これとは別に設計・ビルドの費用が別途必要です⁠）⁠。
この有償サービス全体を『Everything LTS』と呼びます。

端的に述べると、「⁠Canonical、Dockerイメージとその依存ソフトウェア群についても、個別に12年サポートを始めるってよ」と思っておくと良さそうです。このサービスにより、「⁠長期間コンテナ上のアプリケーションを利用したい」「⁠AI/ML基盤のために特定のソフトウェアを長期間使いたいが、現状としてはそれらはUbuntuに含まれておらず、Ubuntu Pro + Legacy Supportの12年間サポートの恩恵を受けられない」「⁠各種セキュリティ基準の準拠のために、使われるすべてのオープンソースソフトウェアについてセキュリティメンテナンスが必要」といったジレンマを解決できると考えておくと良さそうです。

また、プレスリリースの記載からして、「⁠Distroless」というものはCanonicalが以前から開発し、商用サポートも提供しているChiselを用いたコンテナイメージで、「⁠Ubuntuをベースに、不要なファイルを削除したもの」と見られます。ここから言い換えると、「⁠Ubuntuベース」は通常のUbuntuベースのDockerイメージ、「⁠Distroless」はChiselled Ubuntuをベースにしたサービスとなります。

メッセージでは機械学習のツールキットやライブラリ、特にPyTorch、Tensorflow、Rapids、Triton、CASKなどが明示されており、AIへの適合性が謳われています。また、各種業界基準、FIPS、FedRAMP、EU Cyber Resilience Act (CRA)、FCC U.S. Cyber Trust Mark、DISA-STIGなどがアピールされる形となっていますが、利用の余地はここに留まらないと見られます。

あくまで有償のサービスであるということと、Ubuntuそのものではないという点への注意は必要ですが、「⁠Ubuntuの拡張」という意味では興味深いサービスと言えそうです。

今週のセキュリティアップデート

usn-6793-2：Gitのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-June/008379.html
Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2024-32002用のアップデータがリリースされています。
usn-6793-1で保留されていた、CVE-2024-32002の更新です。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6818-4：Linux kernel (HWE)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-June/008380.html
Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2023-52443, CVE-2023-52444, CVE-2023-52445, CVE-2023-52446, CVE-2023-52447, CVE-2023-52448, CVE-2023-52449, CVE-2023-52450, CVE-2023-52451, CVE-2023-52452, CVE-2023-52453, CVE-2023-52454, CVE-2023-52455, CVE-2023-52456, CVE-2023-52457, CVE-2023-52458, CVE-2023-52462, CVE-2023-52463, CVE-2023-52464, CVE-2023-52465, CVE-2023-52467, CVE-2023-52468, CVE-2023-52469, CVE-2023-52470, CVE-2023-52472, CVE-2023-52473, CVE-2023-52486, CVE-2023-52487, CVE-2023-52488, CVE-2023-52489, CVE-2023-52490, CVE-2023-52491, CVE-2023-52492, CVE-2023-52493, CVE-2023-52494, CVE-2023-52495, CVE-2023-52497, CVE-2023-52498, CVE-2023-52583, CVE-2023-52584, CVE-2023-52587, CVE-2023-52588, CVE-2023-52589, CVE-2023-52591, CVE-2023-52593, CVE-2023-52594, CVE-2023-52595, CVE-2023-52597, CVE-2023-52598, CVE-2023-52599, CVE-2023-52606, CVE-2023-52607, CVE-2023-52608, CVE-2023-52609, CVE-2023-52610, CVE-2023-52611, CVE-2023-52612, CVE-2023-52614, CVE-2023-52616, CVE-2023-52617, CVE-2023-52618, CVE-2023-52619, CVE-2023-52621, CVE-2023-52622, CVE-2023-52623, CVE-2023-52626, CVE-2023-52627, CVE-2023-52632, CVE-2023-52633, CVE-2023-52635, CVE-2023-52664, CVE-2023-52666, CVE-2023-52667, CVE-2023-52669, CVE-2023-52670, CVE-2023-52672, CVE-2023-52674, CVE-2023-52675, CVE-2023-52676, CVE-2023-52677, CVE-2023-52678, CVE-2023-52679, CVE-2023-52680, CVE-2023-52681, CVE-2023-52682, CVE-2023-52683, CVE-2023-52685, CVE-2023-52686, CVE-2023-52687, CVE-2023-52690, CVE-2023-52691, CVE-2023-52692, CVE-2023-52693, CVE-2023-52694, CVE-2023-52696, CVE-2023-52697, CVE-2023-52698, CVE-2023-6356, CVE-2023-6535, CVE-2023-6536, CVE-2024-21823, CVE-2024-23849, CVE-2024-24860, CVE-2024-26582, CVE-2024-26583, CVE-2024-26584, CVE-2024-26585, CVE-2024-26586, CVE-2024-26592, CVE-2024-26594, CVE-2024-26595, CVE-2024-26598, CVE-2024-26607, CVE-2024-26608, CVE-2024-26610, CVE-2024-26612, CVE-2024-26615, CVE-2024-26616, CVE-2024-26618, CVE-2024-26620, CVE-2024-26623, CVE-2024-26625, CVE-2024-26627, CVE-2024-26629, CVE-2024-26631, CVE-2024-26632, CVE-2024-26633, CVE-2024-26634, CVE-2024-26636, CVE-2024-26638, CVE-2024-26640, CVE-2024-26641, CVE-2024-26644, CVE-2024-26645, CVE-2024-26646, CVE-2024-26647, CVE-2024-26649, CVE-2024-26668, CVE-2024-26669, CVE-2024-26670, CVE-2024-26671, CVE-2024-26673, CVE-2024-26808, CVE-2024-35835, CVE-2024-35837, CVE-2024-35838, CVE-2024-35839, CVE-2024-35840, CVE-2024-35841, CVE-2024-35842を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6840-1：Thunderbirdのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-June/008381.html
Ubuntu 23.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-5688, CVE-2024-5690, CVE-2024-5691, CVE-2024-5693, CVE-2024-5696, CVE-2024-5700, CVE-2024-5702を修正します。
Thunderbird 115.12.0のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、Thunderbirdを再起動してください。

usn-6839-1：MariaDBのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-June/008382.html
Ubuntu 24.04 LTS・23.10・22.04 LTS用のアップデータがリリースされています。CVE-2024-21096を修正します。
MariaDB 10.11.18、10.6.18用のアップデータがリリースされています。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6841-1：PHPのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-June/008383.html
Ubuntu 24.04 LTS・23.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-5458を修正します。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6842-1：gdbのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-June/008384.html
Ubuntu 22.04 LTS・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2022-4285, CVE-2023-1972, CVE-2023-39128, CVE-2023-39129, CVE-2023-39130を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行が可能な疑いがあります。また、DoSが可能です。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-6845-1：Hibernateのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-June/008385.html
ubuntu 20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2020-25638を修正します。
悪意ある加工を施したファイルを処理させることで、本来秘匿されるべき情報へのアクセスが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。