Ubuntu Weekly Topics

Ubuntu 24.10(oracular)開発 ; サードパーティーソフトウェアの導入ポリシーの整理

oracularの開発 ; サードパーティーソフトウェアの導入ポリシーの整理

oracularの開発そのものはFeature Freezeまであと二週間ほどとなり、⁠隠し球」のたぐいが投入されたり、あるいは予定していた機能のうち一部が削られるタイミングですが、夏休みシーズンやオリンピックと時期が重なっていることもあり、開発そのものについては今週は大きな動きはありませんでした。

もっとも「大きな動き」がなかったのは開発そのもので、開発ポリシーという観点では非常に大きな動きが開始されています。Ubuntuに含められるサードパーティーソフトウェアの導入ポリシー(policy on third party software sources included by Ubuntu)のドラフト版が公開され、意見やフィードバックが募集されています。これは「deb, snapだけでなく、その他のパッケージシステムも含む」対象に対する、⁠Ubuntuに取り込むにあたっての必要条件』を明確にするためのものです。内容としては「サードパーティー」ソフトウェアに限らず、Ubuntuのポリシー全体の明文化という側面もある内容となっています。

文書の内容を簡単に見ていきましょう。まず文書の序盤には「This document specifies Ubuntu’s baseline policy requirements on all software present in a default software source. This includes software sources that are enabled automatically upon the installation of some other software present in a repository that is enabled by default. ⁠⁠この文書は、デフォルトでソフトウェアソースに存在するソフトウェアについて、Ubuntuの基本的なポリシー要件を策定するためのものです。これには、デフォルトで有効になっているリポジトリ内の特定のソフトウェアをインストールした際に、自動的に有効になるソフトウェアソースも含まれます)といった記載があります。さらに、General Requirements(一般的な前提条件)として、⁠Use of any new class of packaging system to make software appear or available by default on Ubuntu must receive explicit approval from the Technical Board: compliance with this document is an expectation but not sufficient in itself.」⁠新しい種類のパッケージシステムを使用する形でUbuntuでソフトウェアをデフォルトで表示可能、あるいは導入済みにする場合は、Technical Boardの明示的な承認が必須です。この文書に準拠することは期待されますが、それだけでは十分ではありません)といった記載もあり、Flatpak等の「デフォルトではない」パッケージシステムも射程に収めたものになっています。

この文書は大まかには原則の提示とその解説、そしてその例外というスタイルで進められています。原則を取り出してみると、次のような内容となっています。

  • Principle 1: behaviour will remain ⁠stable⁠⁠ for the lifetime of an Ubuntu release.(Ubuntuリリースのライフタイムに全体で、機能や動作が「安定」している)
  • Principle 2: Ubuntu developers can override and patch packages(Ubuntu Developerが、パッケージを上書きしたり、パッチできる)
  • Principle 3: package maintainer agrees to maintain packages for the lifetime of the Ubuntu release.(パッケージメンテナが、Ubuntuリリースのライフタイムにわたってパッケージを維持することに同意している)
  • Principle 4: licensing would be acceptable to Ubuntu ie. dfsg-free(ライセンスがUbuntuにとって受け入れ可能である、つまりはdfsg-freeである)
  • Principle 5: packages are built on a build farm that is trusted by the Ubuntu project(パッケージが、Ubuntuプロジェクトが信頼するビルドファームでビルドされている)
  • Principle 6: sources for published builds are retained and publicly available(公開されたビルドのソースは保持され、公開されている)
  • Principle 7: available on all architectures supported by Ubuntu(Ubuntuがサポートするすべてのアーキテクチャで利用可能である)
  • Principle 8: public bug trackers are available(公開されたバグトラッカーが利用可能である)

これらの原則はいずれも「これまで暗黙になっていた前提条件を明文化した」という性質のもので、そこまで目新しいものではありません。またこれらに対する例外として、⁠デスクトップユーザーのみに影響のあるパッケージはアーキテクチャサポートを必須としない(たとえばFirefoxはamd64, arm64, armhfのみで良いものとする⁠⁠」という除外条件が定義されています。文書の後半は具体的な例外パターンやその対象ソフトウェアの定義で、かなり繊細な例外規定が明記されています。たとえば「Snap版のFirefoxについては、Principle 1を除外する」⁠つまり「動作の変更があっても構わない⁠⁠)といったものです[1]

またこのセクションの後には、Snapパッケージに関するいくつかの具体的な定義が行われています。その最大のものは「in-case-of emergency branch (⁠ICE branch⁠)」というもので、要するに「latest/stable/ubuntu-24.04」のような、Ubuntuのリリースバージョンを含んだSnapパッケージソースをあらためて、⁠必要に応じて利用するもの」として位置づけるためのものです。また、UbuntuのデフォルトでインストールされるSnapパッケージであれば、アップグレード時には「latest/stable/ubuntu-26.04」といったものに置き換わることが期待されることも明示されています。このパターンでの利用はこれまでは慣習的な利用が行われており、あらためてパターン化されました。なおこの挙動は「フルパスでヒットしない場合はlatest/stableにフォールバックする」といった動作がSnapの常識として行われるようになっており、このあたりを含めて改めて(SnapではなくUbuntuのポリシーとして)定義された点がポイントです。

全体的には「暗黙の常識」を文書に変換する方向で統一されており、今後このポリシーは「Ubuntuに詳しくなる」タイミングで読むべきものという位置づけになりそうです。

その他のニュース

  • DFIとPIONIXとの協業を伴う、EV充電インフラのためのソフトウェアEVerestのSnap化とそれに関連する今後の展開をCanonicalが公開しています。きわめて端的には「Ubuntu CoreベースのEV充電インフラ」の可能性が見えてきたと思っておくと良いでしょう。
  • Ubuntu Touch 20.04 OTA-5がリリースされています。
  • Canonicalの2023年の決算について。251M USD(ラフな計算でおおむね300億円台後半)に約1,000人の従業員ということで、⁠Ubuntu」そのものやその周辺エコシステムのビジネスが順調に立ち上がっていることがわかります。

今週のセキュリティアップデート

usn-6909-1:Bindのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008478.html
  • Ubuntu 24.04 LTS・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-0760, CVE-2024-1737, CVE-2024-1975, CVE-2024-4076を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
  • 備考:Bind 9.16から9.18への更新を伴うアップデートです。

usn-6908-1:Tomcatのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008479.html
  • Ubuntu 18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2019-0221, CVE-2020-9484, CVE-2021-25329を修正します。
  • 悪意ある入力を行うことで、XSS、DoS、任意のコードの実行が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6911-1:Novaのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008480.html
  • Ubuntu 24.04 LTS・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-40767を修正します。
  • 悪意ある操作を行うことで、サーバー上のファイルの閲覧が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6907-1:Squidのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008481.html
  • Ubuntu 24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2024-37894を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6530-2:HAProxyのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008482.html
  • Ubuntu 18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2023-45539を修正します。
  • 悪意ある入力を行うことで、本来秘匿されるべき情報へのアクセス・アクセス制御の迂回が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6910-1:Apache ActiveMQのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008483.html
  • Ubuntu 22.04 LTS(Ubuntu Proのみ⁠⁠・20.04 LTS(Ubuntu Proのみ⁠⁠・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2015-7559, CVE-2018-11775, CVE-2020-13920, CVE-2021-26117, CVE-2022-41678, CVE-2023-46604を修正します。
  • 悪意ある入力を行うことで、DoS・MitM攻撃・認証の迂回・任意のコードの実行が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6906-1:python-zippのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008484.html
  • Ubuntu 24.04 LTS・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-5569を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6912-1:provdのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008485.html
  • Ubuntu 24.04 LTS用のアップデータがリリースされています。CVE-2024-6714を修正します。
  • 悪意ある操作を行うことで、特権昇格と任意のコードの実行が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6915-1:popplerのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008486.html
  • Ubuntu 24.04 LTS・22.04 LTS用のアップデータがリリースされています。CVE-2024-6239を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6914-1:OCS Inventoryのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008487.html
  • Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2022-39369を修正します。
  • 悪意ある入力を行うことで、ユーザーアカウントの偽装が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6913-1:phpCASのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008488.html
  • Ubuntu 22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2022-39369を修正します。
  • 悪意ある入力を行うことで、ユーザーアカウントの偽装が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
  • 備考:1.5.0から1.6.0への更新により、既存のアプリケーションとの互換性が失われる場合があります。アップグレードドキュメントの該当部を確認してください。

usn-6917-1:Linux kernelのセキュリティアップデート

usn-6918-1:Linux kernelのセキュリティアップデート

usn-6919-1:Linux kernelのセキュリティアップデート

usn-6916-1:Luaのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008492.html
  • Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2022-28805, CVE-2022-33099を修正します。
  • 悪意ある操作を行うことで、任意のコードの実行が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6920-1:EDK IIのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008493.html
  • Ubuntu 18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2017-5731, CVE-2018-12182, CVE-2018-12183, CVE-2018-3613, CVE-2019-0160を修正します。
  • 悪意ある操作を行うことで、DoS・特権昇格が可能でした。
  • 対処方法:アップデータを適用の上、仮想マシンを再起動してください。

usn-6922-1:Linux kernelのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008494.html
  • Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2024-24857, CVE-2024-24858, CVE-2024-24859, CVE-2024-25739を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6923-1:Linux kernelのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008495.html
  • Ubuntu 22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-52752, CVE-2024-25742, CVE-2024-26886, CVE-2024-26952, CVE-2024-27017, CVE-2024-36016を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6921-1:Linux kernelのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008496.html
  • Ubuntu 24.04 LTS用のアップデータがリリースされています。CVE-2024-25742, CVE-2024-35984, CVE-2024-35990, CVE-2024-35992, CVE-2024-35997, CVE-2024-36008, CVE-2024-36016を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6924-1:Linux kernelのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008497.html
  • Ubuntu 20.04 LTS・18.04 ESM用のアップデータがリリースされています。CVE-2021-47131, CVE-2022-48655, CVE-2024-26583, CVE-2024-26584, CVE-2024-26585, CVE-2024-26907, CVE-2024-36016を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6925-1:Linux kernelのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008498.html
  • Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2024-26882を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6926-1:Linux kernelのセキュリティアップデート

usn-6921-2:Linux kernelのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-July/008500.html
  • Ubuntu 24.04 LTS用のアップデータがリリースされています。CVE-2024-25742, CVE-2024-35984, CVE-2024-35990, CVE-2024-35992, CVE-2024-35997, CVE-2024-36008, CVE-2024-36016を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

おすすめ記事

記事・ニュース一覧