Ubuntu Weekly Topics

Canonicalによる『Everything LTS』/12年サポートのDockerイメージ構築サービス

Canonicalによる『Everything LTS』/12年サポートのDockerイメージ構築サービス

Ubuntuを使った、しかしUbuntuだけではないサービスの提供が開始されます。Canonicalから、『Everything LTS』有償サービスの提供が開始されることがアナウンスされました。

これはDockerイメージを設計&構築(design-and-build)する有償サービスで、オープンソースソフトウェアやその依存関係にあるライブラリについて、⁠Ubuntuに含まれているかどうかにかかわらず」⁠whether or not that software is already packaged in Ubuntu.⁠⁠、12年間のセキュリティメンテナンスを提供するサービスが付随するものです。作成されるDockerイメージは「Ubuntuベース」「Distroless」の二系統である旨が示されています。

「Everything LTSは、⁠あなたの利用するDockerイメージが依存する)オープンソースソフトウェアの依存ツリー全体向けのCVEメンテナンスです。これは、Ubuntuにdebパッケージとして収録されているかどうかに関わらず提供されます」⁠Everything LTS means CVE maintenance for your entire open source dependency tree, including open source that is not already packaged as a deb in Ubuntu)という説明とともに、このDockerイメージの動作環境として、RHEL、VMware、Ubuntu、メジャークラウドのK8sが対象であることが示されています。

若干わかりにくい部分もあるため、プレスリリースから読み取れる利用イメージを箇条書きにしてみましょう。

  • まず顧客はCanonicalに、必要なソフトウェアについての情報を提供します。この「必要なソフトウェア」はオープンソースソフトウェアそのものや、あるいは「プロプライエタリソフトウェアのための実行環境」が含まれます。
  • Canonicalはこのソフトウェアの依存関係を調査し、必要とされるオープンソースソフトウェアを洗い出します。この上でUbuntuベース、もしくは「Distroless」でDockerイメージを設計・ビルドします。
  • こうして生成されたDockerイメージは、セキュリティ脆弱性への対応(⁠⁠CVE maintenance⁠⁠)が依存関係にあるオープンソースソフトウェアを含めた形で12年間の間提供されます。
  • このDockerイメージは、RHEL、VMware、Ubuntu、メジャークラウド(Azure, AWS, Google, IBM and Oracle)のK8s上での動作がサポートされます。
  • このDockerイメージの利用コストは、Ubuntu Pro上であれば無償、Ubuntu Pro以外の環境であれば「Ubuntu Proと同額」の費用が必要となります(厳密な記載はないものの、これとは別に設計・ビルドの費用が別途必要です⁠⁠。
  • この有償サービス全体を『Everything LTS』と呼びます。

端的に述べると、⁠Canonical、Dockerイメージとその依存ソフトウェア群についても、個別に12年サポートを始めるってよ」と思っておくと良さそうです。 このサービスにより、⁠長期間コンテナ上のアプリケーションを利用したい」⁠AI/ML基盤のために特定のソフトウェアを長期間使いたいが、現状としてはそれらはUbuntuに含まれておらず、Ubuntu Pro + Legacy Supportの12年間サポートの恩恵を受けられない」⁠各種セキュリティ基準の準拠のために、使われるすべてのオープンソースソフトウェアについてセキュリティメンテナンスが必要」といったジレンマを解決できると考えておくと良さそうです。

また、プレスリリースの記載からして、⁠Distroless」というものはCanonicalが以前から開発し、商用サポートも提供しているChiselを用いたコンテナイメージで、⁠Ubuntuをベースに、不要なファイルを削除したもの」と見られます。ここから言い換えると、⁠Ubuntuベース」は通常のUbuntuベースのDockerイメージ、⁠Distroless」はChiselled Ubuntuをベースにしたサービスとなります。

メッセージでは機械学習のツールキットやライブラリ、特にPyTorch、Tensorflow、Rapids、Triton、CASKなどが明示されており、AIへの適合性が謳われています。また、各種業界基準、FIPS、FedRAMP、EU Cyber Resilience Act (CRA)、FCC U.S. Cyber Trust Mark、DISA-STIGなどがアピールされる形となっていますが、利用の余地はここに留まらないと見られます。

あくまで有償のサービスであるということと、Ubuntuそのものではないという点への注意は必要ですが、⁠Ubuntuの拡張」という意味では興味深いサービスと言えそうです。

今週のセキュリティアップデート

usn-6793-2:Gitのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-June/008379.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2024-32002用のアップデータがリリースされています。
  • usn-6793-1で保留されていた、CVE-2024-32002の更新です。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6818-4:Linux kernel (HWE)のセキュリティアップデート

usn-6840-1:Thunderbirdのセキュリティアップデート

usn-6839-1:MariaDBのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-June/008382.html
  • Ubuntu 24.04 LTS・23.10・22.04 LTS用のアップデータがリリースされています。CVE-2024-21096を修正します。
  • MariaDB 10.11.1810.6.18用のアップデータがリリースされています。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6841-1:PHPのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-June/008383.html
  • Ubuntu 24.04 LTS・23.10・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-5458を修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6842-1:gdbのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-June/008384.html
  • Ubuntu 22.04 LTS・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2022-4285, CVE-2023-1972, CVE-2023-39128, CVE-2023-39129, CVE-2023-39130を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行が可能な疑いがあります。また、DoSが可能です。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6845-1:Hibernateのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-June/008385.html
  • ubuntu 20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2020-25638を修正します。
  • 悪意ある加工を施したファイルを処理させることで、本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧