gihyo.jpサイトのロゴ

Ubuntu Weekly Topics

Ubuntu 24.10(oracular)開発 / パーミッションプロンプトとBeta前のFull Rebuildと壁紙

2024-09-13

oracular(Ubuntu 24.10)の開発 / パーミッションプロンプトとBeta前のFull Rebuildと壁紙

oracular(Ubuntu 24.10)Betaに向けた準備が開始されつつ、壁紙が確定したり、Test Rebuild[1]や試験的な機能の投入が行われています。

今週とりあげるべき大きなものとしてはまず、Sysprofアプリケーションがデフォルトで導入されるようになったことが言えるでしょう。これはシステム上で動作する各種アプリケーションの性能プロファイルを取得し、ボトルネックを追求するためのツールです。

これは24.04以降開始されているパフォーマンス改善のための投資の一環で、Ubuntuをより高速にしていくための取り組みであることが言えそうです(……しかし。このツールはかなり開発者向けの「ストロングスタイル」なツールで、これをデフォルトで入れる必要はどこに……という側面がそれなり以上に存在し、Phoronixがツッコミを入れる[2]という何とも言えない光景が発生しています⁠⁠。

これとは別に、実験的(Experimental)な機能として、⁠パーミッションプロンプト」⁠Permissions Prompting)と呼ばれる機能が間もなくデイリービルドに投入されることが予告されています。

これはスマートフォンのたぐいのアクセス制御と同じようなかたちで、⁠アプリケーションが特定の機能を実行しようとしたときに」プロンプトを表示し、ユーザーによる明示的な許可のもとで操作を実行(もしくは拒否)できるようにするものです。つまり、⁠ブラウザが特定のパスにファイルを保存しようとした」あるいは「ネットワークに接続しようとした」といったタイミングで、真に実行してよい操作なのかどうか確認をかける動作を行います。スマートフォンでBluetoothや位置情報などにアクセスする際に確認が入る動作を、GNOME上で実現したと考えて良いでしょう。

現状としてはSnapとAppArmorの機能で実現されており、⁠アプリケーションが特定のシステムコールを実行したとき」に割り込みをかけるかたちで実装されています。これにより、⁠Snapでパッケージングされているソフトウェアであれば、という暗黙の前提はありつつ⁠⁠、理論上はあらゆるアプリケーションについて、⁠ユーザーが許可していない操作はさせない」というセキュリティが実現できるようになります。Webブラウザーのような、悪意あるコードに接する可能性のあるソフトウェアをより安全に使えるようになるはずです。

とても大きなポイントとしては、この機能はあくまで「Expect to see much more about this feature in future Ubuntu release roadmaps.⁠⁠、つまり「oracularでテスト的に投入されるもので、今後のリリースにおいて継続的に強化されていく」という性質があることです。また少なくともデイリービルドではこの機能はexperimental、つまり実験的な機能として「投入」されるだけで、有効化には能動的な操作が必要で、問答無用で有効になる性質のものでもありません。そして現時点のプロンプトはあくまでプロトタイプ的なもので、万人にとって使いやすく邪魔にならないものではなく、広く意見を募るというフェーズにあります(ついでに、24.04 LTSでもテストが可能になっています⁠⁠。類似するプロンプトが複数回表示された場合にひとつにまとめるといった機能の洗練などがこれから行われ、⁠次のLTSぐらい」までに一定のレベルになることが期待されます。

その他のニュース

  • 停止されていた22.04 LTSから24.04 LTSへのアップグレードが再度できるようになりました。https://lists.ubuntu.com/archives/ubuntu-release/2024-September/006234.html
  • 車載用エンターテインメント端末(カーナビ等と統合されているメディアプレイヤー)の開発に、Anbox Cloudを用いる方法。

今週のセキュリティアップデート

usn-6981-2:Drupalのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-September/008588.html
  • Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2020-13671, CVE-2020-28948, CVE-2020-28949を修正します。
  • usn-6981-1の14.04向けパッケージです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6986-1:OpenSSLのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-September/008589.html
  • Ubuntu 24.04 LTS・22.04 LTS用のアップデータがリリースされています。CVE-2024-6119を修正します。
  • 悪意ある入力を行うことで、DoS・本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:アップデータを適用の上、システムを再起動してください。

usn-6987-1:Djangoのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-September/008590.html
  • Ubuntu 24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM用のアップデータがリリースされています。CVE-2024-45230, CVE-2024-45231を修正します。
  • 悪意ある操作を行うことで、DoS・登録Eメールアドレスの列挙・パスワードリセットの起動が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6988-1:Twistedのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-September/008591.html
  • Ubuntu 24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2024-41671, CVE-2024-41810を修正します。
  • 悪意ある入力を行うことで、応答性能の劣化・レスポンスの改竄・XSSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6985-1:ImageMagickのセキュリティアップデート

usn-6989-1:OpenStackのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-September/008593.html
  • Ubuntu 24.04 LTS・22.04 LTS用のアップデータがリリースされています。CVE-2024-44082を修正します。
  • 悪意ある入力を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。

usn-6990-1:zncのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-September/008594.html
  • Ubuntu 24.04 ESM・22.04 LTS・20.04 ESM・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2024-39844を修正します。
  • 悪意ある応答をサーバーから返すことで、クライアント側で任意のコードの実行が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6992-1:Firefoxのセキュリティアップデート

usn-6993-1:Vimのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-September/008596.html
  • Ubuntu 24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2024-41957, CVE-2024-43374を修正します。
  • 悪意ある加工を施したファイルを処理させることで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6991-1:AIOHTTPのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-September/008597.html
  • Ubuntu 24.04 LTS・22.04 LTS・20.04 ESM・18.04 ESM用のアップデータがリリースされています。CVE-2024-23334を修正します。
  • 悪意ある操作を行うことで、本来アクセスできないファイルへのアクセスが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6995-1:Thunderbirdのセキュリティアップデート

usn-6996-1:WebKitGTKのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-September/008599.html
  • Ubuntu 24.04 LTS・22.04 LTS用のアップデータがリリースされています。CVE-2024-40776, CVE-2024-40779, CVE-2024-40780, CVE-2024-40782, CVE-2024-40789, CVE-2024-4558を修正します。
  • 悪意ある操作を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:アップデータを適用の上、WebKitGTKを利用するアプリケーションを再起動してください。

usn-6841-2:PHPのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-September/008600.html
  • Ubuntu 18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2024-5458を修正します。
  • usn-6841-1の18.04・16.04用パッケージです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6997-1:LibTIFFのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-September/008601.html
  • Ubuntu 24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6994-1:Nettyのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-September/008602.html
  • Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2023-34462, CVE-2023-44487を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧