gihyo.jpサイトのロゴ

Ubuntu Weekly Topics

Ubuntu 25.10(questing)開発; sudoを『錆びさせる』試み⁠25.04へのアップグレードの一時停止

2025-05-09

questing(Ubuntu 25.10)の開発; sudoを『錆びさせる』試み

questing(Ubuntu 25.10)の開発フェーズが開始されて間もないタイミングですが、Coreutilsの置き換えだけでなく、システムを構成する基本的なコマンドを置き換えていく流れも存在することが明らかになりました。

今回発表された対象ユーティリティはsudoで、Rustベースの実装であるsudo-rsをデフォルトでは利用するという方向性が示されています。これはTrifecta Tech Foundationとの協力関係のもと行われる一種の社会実験で、現在のrust-rsに不足する一部の機能(そして「Ubuntu的には必要だが、世間的にはそこまで必要ではない機能」であるAppArmorへの対応)への対応がsudo-rs側のマイルストーン(Milestone 5として記載されているもの)として管理されることになります。

Ubuntu的な位置づけとしては、⁠26.04 LTSでのスムーズな移行を実現するために、25.10で適切な実験を行い、フィードバックを集める必要がある」というもので、⁠いったんの」ゴールとしてはCoreutilsとsudoがターゲットであることが示されています。⁠少なくとも25.10では」そして「おそらく26.04 LTSでも」sudoはRustベース版へ置き換わることになるでしょう。

この変更には、次のようなメリットとデメリットが予想されます。

まずメリットとしては、Rustがもたらすメモリ安全性の提供と、⁠未定義動作」からの保護です[1]。あらゆるプログラムにはバグはつきものですが、C言語を使った実装に比べればRustによる実装の方が『安全』であることはおそらく間違いありません[2](もちろんRustでunsafeな実装をすることも可能ですが、Coreutilsやsudoを実現する上ではそうした「危険な」実装を行う必然性はありませんし、仮に必要になる場合にも、適切に局所化されていることが期待されます。また、そうした「危険でない」実装であることを前提としてUbuntu的なマイグレーションも行われるだろうと予想できます⁠⁠。

これにより、メモリ破壊を軸とするような脆弱性(たとえばCVE-2021-3156の影響を受けにくくすることが可能です。sudoは「特権を付与する」という特性上、攻撃点として使われると他のプログラムよりも容易にroot特権の奪取に繋がるものであるため、メモリ安全性の価値が高くなるプログラムであり、これは合理的な判断であると言えるでしょう。

一方、⁠実装を乗り換える」というアクションである以上、⁠ロジック的なバグ」に新規に遭遇する可能性がそれなりにあります。オリジナル実装のsudoはいわゆる「昔から使われている」プログラムであり、ロジック的な問題については相応に解決された状態となっています ⁠ただし、sudoは実装から考えると機能拡張が続けられているプログラムであり、⁠枯れた」ものであるかどうか、という点ではそれなりに議論の余地があります⁠⁠。

この状態から新規の実装であるsudo-rsへ乗り換えるということは、考慮漏れによるロジックエラー(たとえばCVE-2023-22809「掘り尽くされる」までのあいだ、新たなリスクにさらされる可能性があります。

これらのメリットとデメリットのどちらが大きいのか、という点では明確な解は存在しないものの、⁠少なくともRust版を実装している人々や)Ubuntu的には「メリットのほうが大きいはずだ」という仮定で作業を進めることになった、という理解をしておくと良いでしょう。

なおUbuntu的な今後の予定としては、現時点ですでに、OpenPGPの互換Rust実装であるSequoiaPGPの評価を開始していることが示されており、⁠詳細は続報で」という形のアピールが行われています。⁠システムの根幹を大きく変更する」という側面がどうしてもあるものですが、これらのRustベースへの移行については、更新プランがスケジュールには含まれていないので、⁠いつもよりも、さらに変化が読みにくい」開発フェーズを辿ることになりそうです。

25.04へのアップグレードの一時停止

24.10から25.04へのアップグレードが一時的に停止されています。⁠問題は間もなく解決する」⁠The necessary updates are already in the pipeline, and we expect to re-enable upgrades very soon.; 必要なアップデートはすべてパイプラインに投入されており、まもなくアップグレードの再開ができると期待している)ことが示されています。

その他のニュース

  • IBM LinuxOne Emperor 5のリリースと、リリース時点でのUbuntu Serverの対応について。Ubuntuのメインフレーム(s390x)対応が継続的に提供されることが分かります。
  • EUサイバーレジリエンス法への対応における「新しい常識」位置づけについて。既存の常識を「no longer」で打ち消していく(⁠⁠今後はドキュメントの陰に隠れていることはできない」⁠背景となる意図によって免責されることはない」⁠セキュリティ第一原則はオプションではなく必須である」⁠発売して終わりは許されない」⁠暗黙の依存関係は許されない⁠⁠)形で「CRA後の常識」がかたられています。この種の法整備はEUから全世界に広がっていく傾向があるため、こうした法律に制約される可能性があるワークロードを持つ場合は確認しておくと良いでしょう。

今週のセキュリティーアップデート

usn-7455-5:Linux kernel (AWS)のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-April/009285.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2022-0995, CVE-2024-26837, CVE-2024-46826, CVE-2024-50248, CVE-2024-50256, CVE-2024-56651, CVE-2025-21700, CVE-2025-21701, CVE-2025-21702, CVE-2025-21703, CVE-2025-21756, CVE-2025-21993用のアップデータがリリースされています。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-7467-2:libxml2のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-April/009286.html
  • Ubuntu 18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2025-32414, CVE-2025-32415を修正します。
  • usn-7467-1の18.04、16.04向けパッケージです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7469-3:Node.jsのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-April/009287.html
  • Ubuntu 22.04 LTS(Ubuntu Proのみ⁠⁠・20.04 LTS(Ubuntu Proのみ⁠⁠・18.04 ESM用のアップデータがリリースされています。CVE-2023-44487を修正します。
  • usn-7469-1のNode.js向けのアップデータです。
  • 対処方法:アップデータを適用の上、Node.jsを再起動してください。

usn-7423-2:GNU binutilsのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-April/009288.html
  • Ubuntu 18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2025-0840, CVE-2025-1153, CVE-2025-1176を修正します。
  • usn-7423-1の18.04、16.04向けパッケージです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7469-4:H2Oのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-April/009289.html
  • Ubuntu 18.04 ESM用のアップデータがリリースされています。CVE-2023-44487を修正します。
  • usn-7469-1のH2)向けパッケージです。
  • 対処方法:アップデータを適用の上、H2Oを再起動してください。

usn-7472-1:Micropythonのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-May/009292.html
  • Ubuntu 24.10・24.04 LTS(Ubuntu Proのみ⁠⁠・22.04 LTS(Ubuntu Proのみ⁠⁠・20.04 LTS(Ubuntu Proのみ)用のアップデータがリリースされています。CVE-2021-42553, CVE-2024-8946, CVE-2024-8947を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7473-1:Ghostscriptのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-May/009293.html
  • Ubuntu 24.10・24.04 LTS用のアップデータがリリースされています。CVE-2025-46646を修正します。
  • 悪意ある入力を行うことで、DoS・アクセス制御の迂回が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7474-1:Dockerのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-May/009294.html
  • Ubuntu 24.04 LTS(Ubuntu Proのみ⁠⁠・22.04 LTS(Ubuntu Proのみ⁠⁠・20.04 LTS(Ubuntu Proのみ⁠⁠・18.04 ESM用のアップデータがリリースされています。CVE-2023-28840, CVE-2023-28841, CVE-2023-28842, CVE-2024-23651, CVE-2024-23652, CVE-2024-36621, CVE-2024-36623を修正します。
  • 悪意ある入力を行うことで、DoS・ファイアウォールの迂回・本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7461-3:Linux kernel (Xilinx ZynqMP)のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-May/009295.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2021-47119, CVE-2024-26915, CVE-2024-35958, CVE-2024-46826, CVE-2024-49974, CVE-2024-50256, CVE-2024-53237, CVE-2024-56651, CVE-2025-21700, CVE-2025-21702, CVE-2025-21703を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-7475-1:Linux kernel (Xilinx ZynqMP)のセキュリティアップデート

おすすめ記事

記事・ニュース一覧