Ubuntu Weekly Topics

Ubuntu 25.10(questing)開発; Chronyのデフォルト化と⁠『開発者のためのUbuntu』

questing(Ubuntu 25.10)の開発; Chronyのデフォルト化と、『開発者のためのUbuntu』

コンピューターのシステム時刻を「正しく」セットすることは、簡単なように見えてそれなりに難しい仕事です。現在もっとも身近なコンピューターであるスマートフォンでは電話用の電波から正確な時刻情報を受け取ることができますが、こうした経路を利用できないPCやサーバーでは、Network Time Protocol(NTP)を用いてソフトウェア的に「正しい時刻」を受け取り、ネットワーク的な遅延を考慮しながら適切な時刻をセットします。

現在のこの方法には、ひとつ厄介な問題があります。NTPは比較的古い時代に設計されたプロトコルであるため、UDPを楽観的な形で利用しており、改竄されたパケットをうまく送り込むことで、システムの時刻を誤った方向へ傾けられる可能性があります(現在時刻からあまりにも大きく異なるパケットを受け取った場合、システムは徐々にその時刻へ「近づく」ように動作します。誤った時刻がいきなりセットされることは、システムが適切に設定されていれば起きません。しかし、継続的に攻撃を続けることで、攻撃者にとって都合のよい時刻へ「傾ける」ことは十分に可能です⁠⁠。

システムの時刻をズラすことができるだけでは、せいぜいがログに残る情報を改竄できるように思えるかもしれません。しかし、この問題は、連鎖的に大きなリスクを作り出します。現在のセキュリティ機能、特にTLSなどの証明書ベースのセキュア通信プロトコルでは多くは「現在時刻」が正しいことを前提に構築されており、時刻をずらすことができるということは、間接的に暗号通信のセキュリティを損なう可能性があるためです。

この問題に対応するため、NTPにセキュリティ機能を実装し、⁠時刻をずらす」攻撃を難しくするものがNetwork Time Security(NTS)です[1]。これを利用するためには、Ubuntuがこれまでデフォルトで利用していたsystemd-timesyncdでは対応しておらずChronyへ切り替える必要があります。

こうした流れからQuestingではデフォルトのNTPデーモン(兼NTSデーモン)がChronyへ切り替わることになります。この作業は影響が大きいかもしれないため、6月2日以降に行われる予定です。

次に、Ubuntuの特徴として、Project Sputnik由来の「簡単に開発者向けの環境を整えられる」というものがあります。アプリケーションによってはUbuntuをデフォルトの開発環境として想定しているものも多く、機械学習やAI文脈を併用するアプリケーションを開発する場合、Ubuntuが第一選択になることも珍しくありません。

こうした流れの中、Questingでは「開発者向け」の環境整備やドキュメントの充実という方向性が見えていきています。Ubuntu for Developersと名付けられたドキュメントシリーズにより、Python、Golang、Rust、GCC、.NET、Javaのツールチェイン環境の整え方や、入門者向けのガイダンスへ簡単に到達できるようになりました。また、より詳しい紹介も公開されており、さまざまな開発環境での利用ができるように準備が進められています。

その他のニュース

今週のセキュリティーアップデート

usn-7521-1:Linux kernelのセキュリティアップデート

usn-7519-1:MariaDBのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-May/009364.html
  • Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2023-52969, CVE-2023-52970, CVE-2025-30693, CVE-2025-30722を修正します。
  • MariaDB 10.6.22のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上、MariaDBを再起動してください。

usn-7513-3:Linux kernelのセキュリティアップデート

usn-7522-1:Linux kernel (Azure, N-Series)のセキュリティアップデート

usn-7515-2:Linux kernelのセキュリティアップデート

usn-7523-1:Linux kernel (Raspberry Pi Real-time)のセキュリティアップデート

usn-7510-3:Linux kernelのセキュリティアップデート

usn-7510-4:Linux kernel (Real-time)のセキュリティアップデート

usn-7510-5:Linux kernel (Azure FIPS)のセキュリティアップデート

usn-7511-3:Linux kernel (GKE)のセキュリティアップデート

usn-7516-3:Linux kernelのセキュリティアップデート

usn-7520-1, usn-7520-2:PostgreSQLのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-May/009374.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-May/009375.html
  • Ubuntu 25.04・24.10・24.04 LTS・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2025-4207を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:アップデータを適用の上、PostgreSQLを再起動してください。

usn-7516-4:Linux kernel (Oracle)のセキュリティアップデート

usn-7517-2:Linux kernel (IBM)のセキュリティアップデート

usn-7525-1:Tomcatのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-May/009378.html
  • Ubuntu 24.04 LTS(Ubuntu Proのみ⁠⁠・22.04 LTS(Ubuntu Proのみ⁠⁠・20.04 LTS(Ubuntu Proのみ⁠⁠・18.04 ESM用のアップデータがリリースされています。CVE-2025-24813を修正します。
  • 悪意ある入力を行うことで、ファイルトラバーサルが可能でした。任意のコードの実行を含む悪用が可能でした。
  • 対処方法:アップデータを適用の上、システムを再起動してください。

usn-7526-1:Bindのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-May/009379.html
  • Ubuntu 25.04・24.10用のアップデータがリリースされています。CVE-2025-40775を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7527-1:libfcgi-perlのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-May/009380.html
  • Ubuntu 20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2025-40907を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7280-2:Pythonのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-May/009381.html
  • Ubuntu 24.10・22.04 LTS(Ubuntu Proのみ⁠⁠・20.04 LTS(Ubuntu Proのみ⁠⁠・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2025-0938を修正します。
  • usn-7280-1を修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7521-2:Linux kernel (AWS)のセキュリティアップデート

usn-7528-1:SQLiteのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-May/009383.html
  • Ubuntu 25.04・24.10・24.04 LTS・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2025-29087, CVE-2025-29088, CVE-2025-3277を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-7516-5:Linux kernel (HWE)のセキュリティアップデート

usn-7531-1:CRaC JDK 21のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-May/009385.html
  • Ubuntu 25.04・24.10用のアップデータがリリースされています。CVE-2025-21587, CVE-2025-30691, CVE-2025-30698を修正します。
  • 悪意ある入力を行うことで、本来秘匿されるべき情報、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • OpenJDK Vulnerability Advisory: 2025/04/15に相当するUbuntuパッケージです。
  • 対処方法:アップデータを適用の上、Javaアプリケーションを再起動してください。

usn-7532-1:GLibのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-May/009386.html
  • Ubuntu 25.04・24.10・24.04 LTS・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2025-4373を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧