32bit Arm環境での12年サポートと2038年問題への振り返り、24.04.2の準備

32bit Arm環境での12年サポートと2038年問題への振り返り

Ubuntuは長期間にわたる取り組みによって（たとえば大きな動きとして観測されはじめたのは、2023年6月です⁠）⁠、32bit Armにおける2038年問題への対応を行いました。これに関連して、EUのサイバーレジリエンス法（CRA）への対応について、非常に詳しく解説する記事が公開されています。

ポイントとしては「32bit Armはすでに出荷されている」そして「CRAに基づくと、2038年問題への対応は義務である」という点の組み合わせです。これは言い換えると、「⁠そのままでは、大量に出荷されている32bit Arm環境は、CRAの対応義務を満たせず、違反状態になる」ということを意味します（ということで、これらに対応したUbuntu 24.04 LTSとUbuntu Core 24を利用し、Ubuntu Proを購入して対応してください、という話に続きます[1]⁠）⁠。

比較的ビジネスの視点に特化したものではあるものの、「⁠32bit Armにおける『time_t』への対応」を学んでいくスタートポイントとしては非常によい解説となっているため、2038年問題に興味がある場合は記事や関連ホワイトペーパーを見ておくと良いでしょう。

24.04.2の準備

24.04の2個目のポイントリリース、24.04.2の準備が開始されました。現時点では2月13日のリリースが予定され（Ubuntu的にはポイントリリースはしばしばリリース日が遅延します⁠）⁠、まだリリースに向けたマイルストーンの整理が開始された段階です。

現状ではRaspberry Pi 5の16GBモデルのサポート、そしてPi 500向けの調整が予定されており、これらのデバイスを用いる場合は24.04.2を使うとよい、という形になりそうです。

その他のニュース

45歳で逝去したDebian開発者＆Canonical社員＆Ubuntu開発者の、Steve Langasek（vorlon）を悼むスレッド。Debian側にも弔辞があります。DebianやUbuntuの開発に関わったことがある（バグ報告をしたことがある、というものももちろん含む）人のほとんどが彼の名前を目にしたことがあるでしょう。
Ubuntuのパッケージングにおける、ライセンス要件と関連するベストプラクティスの更新の試み。
Flutterによるデスクトップアプリケーションに、複数ウインドウを導入する試みについて。
Ubuntu Summit 2024のふりかえり。一種の旅行記として雰囲気を味わうのがよさそうです。
まったくの初心者に向けた、オープンソースの存在とライセンスの基礎。Ubuntuを「使い始めた」という段階の方は読んでおくと将来どこかで役に立つはずです。

今週のセキュリティーアップデート

usn-7203-1：PowerDNSのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008910.html
Ubuntu 22.04 LTS（Ubuntu Proのみ⁠）⁠・20.04 LTS（Ubuntu Proのみ⁠）⁠・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2018-1046, CVE-2018-10851, CVE-2018-14626, CVE-2018-14644, CVE-2020-17482, CVE-2022-27227を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7195-2：Linux kernel (Azure)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008911.html
Ubuntu 18.04 ESM用のアップデータがリリースされています。CVE-2021-47001, CVE-2021-47076, CVE-2021-47101, CVE-2021-47501, CVE-2022-38096, CVE-2022-48733, CVE-2022-48938, CVE-2022-48943, CVE-2023-52488, CVE-2023-52497, CVE-2023-52498, CVE-2023-52639, CVE-2023-52821, CVE-2024-26947, CVE-2024-35904, CVE-2024-35951, CVE-2024-35963, CVE-2024-35965, CVE-2024-35966, CVE-2024-35967, CVE-2024-36938, CVE-2024-36952, CVE-2024-36953, CVE-2024-36968, CVE-2024-38538, CVE-2024-38553, CVE-2024-38597, CVE-2024-40910, CVE-2024-42068, CVE-2024-42077, CVE-2024-42156, CVE-2024-42240, CVE-2024-43892, CVE-2024-44940, CVE-2024-44942, CVE-2024-46724, CVE-2024-49967, CVE-2024-50264, CVE-2024-53057を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-7205-1：Djangoのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008912.html
Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-56374を修正します。
悪意ある入力を行うことで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7207-1：Gitのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008913.html
Ubuntu 24.10・24.04 LTS・22.04 LTS用のアップデータがリリースされています。CVE-2024-50349, CVE-2024-52006を修正します。
パスワード入力の入力先を誤認させることが可能でした。また、クレデンシャルヘルパーの利用時に行の終端を適切に認識していませんでした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7206-1, usn-7206-2：rsyncのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008914.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008926.html
Ubuntu 24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2024-12084, CVE-2024-12085, CVE-2024-12086, CVE-2024-12087, CVE-2024-12088, CVE-2024-12747を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：アップデータを適用の上、rsyncデーモンを再起動してください。
備考：usn-7206-1に問題があり、クラッシュが発生していました。

usn-7198-1：rlottieのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008915.html
Ubuntu 22.04 LTS・20.04 LTS用のアップデータがリリースされています。
悪意ある入力を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7204-1：NeoMuttのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008916.html
Ubuntu 24.04 LTS（Ubuntu Proのみ⁠）⁠・22.04 LTS（Ubuntu Proのみ⁠）⁠・20.04 LTS（Ubuntu Proのみ⁠）⁠・18.04 ESM用のアップデータがリリースされています。CVE-2018-14349, CVE-2018-14350, CVE-2018-14351, CVE-2018-14352, CVE-2018-14353, CVE-2018-14354, CVE-2018-14355, CVE-2018-14356, CVE-2018-14357, CVE-2018-14358, CVE-2018-14359, CVE-2018-14360, CVE-2018-14361, CVE-2018-14362, CVE-2018-14363, CVE-2020-14954, CVE-2020-28896, CVE-2021-32055, CVE-2022-1328, CVE-2024-49393, CVE-2024-49394を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。また、本来秘匿されるべき情報へのアクセスが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7173-3：Linux kernel (Raspberry Pi)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008917.html
Ubuntu 18.04 ESM用のアップデータがリリースされています。CVE-2021-47001, CVE-2021-47101, CVE-2022-38096, CVE-2023-52821, CVE-2024-35963, CVE-2024-35965, CVE-2024-35966, CVE-2024-35967, CVE-2024-36952, CVE-2024-38553, CVE-2024-38597, CVE-2024-40910, CVE-2024-43892, CVE-2024-49967, CVE-2024-50264, CVE-2024-53057を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-7212-1：Python 2.7のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008918.html
Ubuntu 22.04 LTS（Ubuntu Proのみ⁠）⁠・20.04 LTS（Ubuntu Proのみ）用のアップデータがリリースされています。CVE-2019-9674, CVE-2022-45061, CVE-2024-0450を修正します。
悪意ある入力を行うことで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7210-1：.NETのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008919.html
Ubuntu 24.10・24.04 LTS・22.04 LTS用のアップデータがリリースされています。CVE-2025-21171, CVE-2025-21172, CVE-2025-21173, CVE-2025-21176を修正します。
悪意ある入力を行うことで、任意のコードの実行・DoS・権限昇格が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7211-1：Audacityのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008920.html
Ubuntu 20.04 LTS（Ubuntu Proのみ⁠）⁠・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2020-11867を修正します。
悪意ある入力を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7213-1：popplerのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008921.html
Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2024-56378を修正します。
悪意ある入力を行うことで、DoS・本来秘匿されるべき情報へのアクセスが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7215-1：libxml2のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008922.html
Ubuntu 24.10用のアップデータがリリースされています。CVE-2024-40896を修正します。
悪意ある入力を行うことで、DoSが可能でした。XMLの外部実体攻撃が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7214-1：HarfBuzzのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008923.html
Ubuntu 24.10用のアップデータがリリースされています。CVE-2024-56732を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7208-1：Apache Commons BCELのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008924.html
Ubuntu 22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2022-42920を修正します。
悪意ある入力を行うことで、任意のコードの実行が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7209-1：GIMP DDS Pluginのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008925.html
Ubuntu 22.04 LTS・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2023-44441を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7216-1：tqdmのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008927.html
Ubuntu 24.04 LTS・22.04 LTS用のアップデータがリリースされています。CVE-2024-34062を修正します。
悪意ある入力を行うことで、任意のコードの実行が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7217-1：PoDoFo libraryのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008928.html
Ubuntu 22.04 LTS（Ubuntu Proのみ⁠）⁠・20.04 LTS（Ubuntu Proのみ⁠）⁠・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2017-5886, CVE-2018-11255, CVE-2018-12983, CVE-2018-20797, CVE-2018-5308, CVE-2018-8002, CVE-2019-10723, {CVE-2020-18971, CVE-2021-30470, CVE-2021-30471を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。

usn-7166-4：Linux kernel (Xilinx ZynqMP)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008929.html
Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2023-52532, CVE-2023-52621, CVE-2023-52639, CVE-2023-52904, CVE-2023-52917, CVE-2024-26947, CVE-2024-27072, CVE-2024-35904, CVE-2024-35951, CVE-2024-36893, CVE-2024-36968, CVE-2024-38538, CVE-2024-38544, CVE-2024-38545, CVE-2024-38632, CVE-2024-38667, CVE-2024-39463, CVE-2024-41016, CVE-2024-42079, CVE-2024-42156, CVE-2024-42158, CVE-2024-44931, CVE-2024-44940, CVE-2024-44942, CVE-2024-46695, CVE-2024-46849, CVE-2024-46852, CVE-2024-46853, CVE-2024-46854, CVE-2024-46855, CVE-2024-46858, CVE-2024-46859, CVE-2024-46865, CVE-2024-47670, CVE-2024-47671, CVE-2024-47672, CVE-2024-47673, CVE-2024-47674, CVE-2024-47679, CVE-2024-47684, CVE-2024-47685, CVE-2024-47690, CVE-2024-47692, CVE-2024-47693, CVE-2024-47695, CVE-2024-47696, CVE-2024-47697, CVE-2024-47698, CVE-2024-47699, CVE-2024-47701, CVE-2024-47705, CVE-2024-47706, CVE-2024-47709, CVE-2024-47710, CVE-2024-47712, CVE-2024-47713, CVE-2024-47718, CVE-2024-47720, CVE-2024-47723, CVE-2024-47734, CVE-2024-47735, CVE-2024-47737, CVE-2024-47739, CVE-2024-47740, CVE-2024-47742, CVE-2024-47747, CVE-2024-47748, CVE-2024-47749, CVE-2024-47756, CVE-2024-47757, CVE-2024-49851, CVE-2024-49852, CVE-2024-49856, CVE-2024-49858, CVE-2024-49860, CVE-2024-49863, CVE-2024-49866, CVE-2024-49867, CVE-2024-49868, CVE-2024-49871, CVE-2024-49875, CVE-2024-49877, CVE-2024-49878, CVE-2024-49879, CVE-2024-49881, CVE-2024-49882, CVE-2024-49883, CVE-2024-49884, CVE-2024-49886, CVE-2024-49889, CVE-2024-49890, CVE-2024-49892, CVE-2024-49894, CVE-2024-49895, CVE-2024-49896, CVE-2024-49900, CVE-2024-49902, CVE-2024-49903, CVE-2024-49907, CVE-2024-49913, CVE-2024-49924, CVE-2024-49927, CVE-2024-49930, CVE-2024-49933, CVE-2024-49935, CVE-2024-49936, CVE-2024-49938, CVE-2024-49944, CVE-2024-49946, CVE-2024-49948, CVE-2024-49949, CVE-2024-49952, CVE-2024-49954, CVE-2024-49955, CVE-2024-49957, CVE-2024-49958, CVE-2024-49959, CVE-2024-49962, CVE-2024-49963, CVE-2024-49965, CVE-2024-49966, CVE-2024-49967, CVE-2024-49969, CVE-2024-49973, CVE-2024-49975, CVE-2024-49977, CVE-2024-49981, CVE-2024-49982, CVE-2024-49983, CVE-2024-49985, CVE-2024-49995, CVE-2024-49997, CVE-2024-50000, CVE-2024-50001, CVE-2024-50002, CVE-2024-50003, CVE-2024-50006, CVE-2024-50007, CVE-2024-50008, CVE-2024-50013, CVE-2024-50015, CVE-2024-50019, CVE-2024-50024, CVE-2024-50031, CVE-2024-50033, CVE-2024-50035, CVE-2024-50038, CVE-2024-50039, CVE-2024-50040, CVE-2024-50041, CVE-2024-50044, CVE-2024-50045, CVE-2024-50046, CVE-2024-50049, CVE-2024-50059, CVE-2024-50062, CVE-2024-50093, CVE-2024-50095, CVE-2024-50096, CVE-2024-50179, CVE-2024-50180, CVE-2024-50181, CVE-2024-50184, CVE-2024-50186, CVE-2024-50188, CVE-2024-50189, CVE-2024-50191を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-7218-1：Pythonのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008930.html
Ubuntu 22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2024-11168を修正します。
悪意ある入力を行うことで、SSRFが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7219-1：Pythonのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-January/008931.html
Ubuntu 24.10・24.04 LTS用のアップデータがリリースされています。CVE-2024-12254を修正します。
悪意ある入力を行うことで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。