Ubuntu Weekly Topics

Ubuntu 24.10(oracular)24.04 LTS(noble)開発; PIC64GXへの対応とLXD上のsystemd-resolvedの動作不具合

oracular(Ubuntu 24.10)とnobleの開発; PIC64GXへの対応とLXD上のsystemd-resolvedの動作不具合

oracularの開発が進められる横で、noble(24.04 LTS)「リリース後の開発」も継続的に続けられています。24.04.1に向けた興味深い動きとして、PIC64GX Curiosity Kit向けの対応が進められていることを、開発者の報告や実際のパッケージ関連の準備から見て取ることができます。

PIC64GXはMicrochipがリリースするRISC-Vプロセッサで、PIC64GX Curiosity KitはこのSoCを中心にした、比較的安価な(日本円で2万5000円以下)開発者向けボードです。1GBメモリー+Gigabit Ethernet+Raspberry Pi MIPIコネクターに加えてJTAGを搭載しているため、比較的典型的な組み込み向け開発に用いることができます。いわゆる「Raspbery Pi互換」スタイルとは異なり正方形のボードで構成されています。現時点ではUbuntuが動くわけではありませんが、⁠どこからどう見ても開発中」という状態になりました。

Launchpad上では「We want to publish a 24.04.1 preinstalled image for the Microchip PIC64GX Curiosity Kit. We need U-Boot to boot the board.」⁠24.04.1では、Microchip PIC64GX Curiosity Kit向けのプリインストールイメージをリリースしたい、U-Bootがブートのために必要だ)といったことが述べられており、順調に開発が進むようであれば、24.04.1のリリースタイミング(もしくはその後)に、Ubuntuが動作する状態になると言えるでしょう。Ubuntuの使われる場所が増えるという意味では、非常に重要な動きと言えるでしょう。

こうした動きの横で、oracularの開発では『ちょっとしたトラブル』が生じています。具体的には「LXD上でいろいろなunitが正常に起動できない」というもので(典型的にはsystemd-resolvedだが、これに留まらない、という状態です⁠⁠、原因は「ネストされた環境では、CredentialアクセスをAppArmorが阻害するから」というものです。AppArmorはパスベース(つまりファイルシステム上のパス)でアクセスを制御するための強制アクセス制御のためのモジュールで、⁠あるプロセスが操作していいファイルはこのパスにあるものだけである」というような形で制御を行います。Ubuntuでは(特にLXDやSnapでは)伝統的にAppArmorによる制御を導入しており、通常、⁠あるプロセスが行わないはずの操作」を抑制するという方向でコントロールされるようになっています。

しかし、この機能は「既知のアクセス」におさまらないようなアクセスが発生してしまうと「それは不正なアクセスである」と判断してしまう、という誤認が起きることもあります。開発版ではこうした展開が多々発生し、新規に機能が投入される → AppArmorの制御が不十分 → 新機能が動かない(あるいは「起動時に自動的に新しい機能を用いた操作をする」というような処理が入っている場合、プロセスが動かなくなるという展開も起きます)ということになるわけです(ここで既視感に襲われたり、⁠いつもの」とつぶやいてしまう人は強制アクセス制御かコンテナに詳しい人であると言えるかもしれませんが、⁠まあいつものことですね」という感じです⁠⁠。

さらにこの問題はRPIのイメージにも影響しており、⁠開発期間にはよくある」しかしやや困ったことを引き起こす状態になっています。開発版を利用する場合は、適切にデータのバックアップを取るとともに、サブの環境等を準備しておくこと、という鉄則が生きる瞬間です(もっとも「LXDが動かないだけ」という話でもあり、そこまで厳しい事案になるとは考えにくい状態ではあります⁠⁠。

その他のニュース

今週のセキュリティアップデート

usn-6896-2:Linux kernelのセキュリティアップデート

usn-6899-1:GTKのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008462.html
  • Ubuntu 24.04 LTS・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-6655を修正します。
  • 悪意ある操作を行うことで、任意のコードの実行・権限昇格が可能でした。
  • 対処方法:アップデータを適用の上、セッションを再起動(一度ログアウトして再度ログイン)してください。

usn-6898-2:Linux kernelのセキュリティアップデート

usn-6900-1:Linux kernelのセキュリティアップデート

usn-6896-3:Linux kernelのセキュリティアップデート

usn-6901-1:stunnelのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008467.html
  • Ubuntu 20.04 LTS・18.04 ESM用のアップデータがリリースされています。CVE-2021-20230を修正します。
  • 証明書認証を迂回することが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6902-1:Apache HTTP Serverのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008468.html
  • Ubuntu 24.04 LTS・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-40725を修正します。
  • 動的ページのソースファイルがダウンロードできる場合がありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6895-3:Linux kernelのセキュリティアップデート

usn-6898-3:Linux kernel kernelのセキュリティアップデート

usn-6903-1:Thunderbirdのセキュリティアップデート

usn-6904-1:PyMongoのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008473.html
  • Ubuntu 24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2024-5629を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6905-1:Rackのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008474.html
  • Ubuntu 22.04 LTS(Ubuntu Proのみ⁠⁠・20.04 LTS(Ubuntu Proのみ⁠⁠・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2023-27530, CVE-2023-27539を修正します。
  • 対処方法:アップデータを適用の上、Rackを利用するアプリケーションを再起動してください。

usn-6896-5:Linux kernelのセキュリティアップデート

usn-6893-3:Linux kernelのセキュリティアップデート

usn-6898-4:Linux kernelのセキュリティアップデート

おすすめ記事

記事・ニュース一覧