Ubuntu Weekly Topics

Qualcomm IoT platform向けのパブリックベータ⁠Ubuntu Security Research Alliance Program

Qualcomm IoT platform向けのパブリックベータ

CanonicalとQualcommのアライアンスにより、UbuntuのQualcomm IoT platform向けのパブリックベータがリリースされていることがアナウンスされています。

このイメージはQualcommの提供しているQCS6490を搭載した開発者向けキットであるRB3 Gen 2 Dev Kit向けのイメージで、いわゆる「組み込み」⁠IoT」といった文脈で利用されるものです。このボードは400~600USDほどの『超小型』ボード(いわゆる「Raspberry Piぐらいの大きさ⁠⁠)で[1]高性能ハンドヘルドやタブレットなどのモバイル端末を含め、いろいろな場所で活用される可能性があります。

イメージは22.04 LTSベースで、手順に従えば誰でも利用でき、さらにQualcomm側にもドキュメントが準備されていると、かなり整理された状態になっています[2]。CanonicalとQualcommの連携を感じさせる内容です。

Qualcomm、と聞くとついSnapdragon X Elite用『Concept』を思い出してしまいますが、Snapgragon X Elite用のような「コミュニティベース」の取り組みとは異なり、こちらはCanonical/Ubuntuとして公式なイメージとしてリリースされているという位置づけとなっています。

いずれにせよ、⁠UbuntuにおけるQualcommの存在感」を感じさせる動きと言えるでしょう。

Ubuntu Security Research Alliance Program

Ubuntuのセキュリティについて、興味深い取り組みが開始されています。Ubuntu Security Research Alliance Programと名付けられたこの取り組みは、⁠セキュリティスキャンを中心にする企業や組織」とのアライアンスで、TenableとBlack Duckとの連携が申し込みページで示されています。

「Ubuntu/Canonicalとしては、脆弱性情報やパッチ情報などを連携する」⁠ソースコードスキャナやファジングなどで脆弱性を見つけた場合に連携してほしい」⁠セキュリティスキャナが『発見』した内容の適正さを補正したり、あるいは対応情報についてより正しいものにする」⁠Ubuntuの新機能や各種ツール・プロセスの変化についてのアーリーアクセスを提供する」⁠さらに、こうして得られた発見についてオープンソースコミュニティに還元する」といった取り組みであるとされています。

短期的にUbuntuのユーザーやオープンソースコミュニティにメリットがあるわけではありませんが、中長期的に改善がもたらされていくことになるでしょう。また、なんらかの形で脆弱性スキャンを行っているような場合は、アライアンスへの参加を検討しても良いかもしれません。

その他のニュース

  • 6月頃に検討されていたBanana PI BPI-F3への対応の続報が報告されています。大きな変化というわけではありませんが、継続して一定の作業が続けられていると読み取ることができるでしょう。

今週のセキュリティアップデート

usn-7117-2:needrestartの再アップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-November/008807.html
  • Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。
  • usn-7117-1において、containerd環境で誤った判定が行われていました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7128-1:Pygmentsのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-November/008808.html
  • Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2022-40896を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7129-1:TinyGLTFのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-November/008809.html
  • Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2022-3008を修正します。
  • 悪意ある入力を行うことで、任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6988-2:Twistedのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-November/008810.html
  • Ubuntu 22.04 LTS・20.04 LTS・18.04 ESM用のアップデータがリリースされています。CVE-2024-41671を修正します。
  • usn-6988-1のUbuntu 22.04 LTS・20.04 LTS・18.04 ESM向けリリースです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7126-1:libsoupのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-November/008811.html
  • Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM用のアップデータがリリースされています。CVE-2024-52530, CVE-2024-52531, CVE-2024-52532を修正します。
  • 悪意ある入力を行うことで、HTTPリクエストスマグリング・メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7127-1:libsoup3のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-November/008812.html
  • Ubuntu 24.10・24.04 LTS・22.04 LTS用のアップデータがリリースされています。CVE-2024-52530, CVE-2024-52531, CVE-2024-52532を修正します。
  • 悪意ある入力を行うことで、HTTPリクエストスマグリング・メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7130-1:GitHub CLIのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-November/008813.html
  • Ubuntu 24.10・24.04 LTS(Ubuntu Proのみ)用のアップデータがリリースされています。CVE-2024-52308を修正します。
  • 悪意あるサーバーに接続させることで、任意のコードの実行が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7092-2:mpg123のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-November/008814.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2024-10573を修正します。
  • usn-7092-1の20.04 LTS向けパッケージです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7131-1:Vimのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-November/008815.html
  • Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2024-47814を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6846-2:Ansibleの再アップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-December/008816.html
  • Ubuntu 18.04 ESM・16.04 ESM用のアップデータがリリースされています。
  • usn-6846-1において、特定のコードで例外を出力する問題がありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7132-1:PostgreSQLのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-December/008817.html
  • Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-10976, CVE-2024-10977, CVE-2024-10978, CVE-2024-10979を修正します。
  • 悪意ある入力を行うことで、不正な読み取りと書き込み・結果不正の誘発・任意のコードの実行が可能でした。
  • 対処方法:アップデータを適用の上、PostgreSQLを再起動してください。
  • 備考:upstreamの新しいバージョンのリリースをそのまま利用したパッケージです。

usn-7133-1:HAProxyのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-December/008818.html
  • Ubuntu 24.04 LTS用のアップデータがリリースされています。CVE-2024-53008を修正します。
  • 悪意ある入力を行うことで、HTTPリクエストスマグリング・本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7134-1:Firefoxのセキュリティアップデート

usn-7135-1:HAProxyのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2024-December/008820.html
  • Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2023-25725を修正します。
  • 悪意ある入力を行うことで、認証の迂回が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧