MeltdownとSpectreのUbuntuでの対応
先ほど紹介した「Meltdown」と「Spectre」の「Ubuntu」での対応方針です。
残念ながらおそらくあなたは、近代のコンピュータ史における最も広範囲に広がったセキュリティーの脆弱性の一つに関し、すでに記事を読んでいるだろう。
これらはMeltdown(CVE-2017-5754)及びSpectre(CVE-2017-5753/CVE-2017-5715)として知られている。
これらの脆弱性は、ここ10年間に製造されたほぼすべてのコンピューター及びそのコンピューター上で動作するOSが影響を受ける。
そのOSには、Ubuntuも含まれる。
”残念ながら”と言った理由の一つは、世界中の各OSベンダー、ハードウェアベンダー、クラウドベンダーと合意が形成され、アップデート及び脆弱性情報の一般公開が2018年1月9日に調整されていたが、その調整が意味をなさなかったことだ。
意図的にOSのアップデートは、セキュリティーの脆弱性情報の一般公開と同時に提供されるようになっている。
これは業界のベストプラックティス(最良の慣行)であり、今回のような事例はめったに起こることではないが、本件はこの慣行を破るケースとなった。
この脆弱性は、本質的にはCPUのハードウェアアーキテクチャーの設計に起因する問題である。
この脆弱性は数十億のハードウェアデバイスが影響を受けるため、CPUの交換によりこれらの脆弱性に対応することは現実的な選択肢ではない。
結果、Windows、macOS、Linux、その他多くのOSのカーネルに修正を施し、この致命的な脆弱性による影響を軽減することになる。
Canonicalのエンジニアは、2017年11月に一般公開される前に脆弱性情報を受け、その日以来、クリスマス休暇及び年始休暇を返上して本件の対応作業を行っている。
様々な種類のUbuntuカーネル及びCPUアーキテクチャー群に非常に複雑な修正パッチ群を統合し、テストを行っている。
「Meltdown」と「Spectre」に関しては、以下を参照してください。
Ubuntu 64bit版(x86_64/amd64)
「Ubuntu 64bit版(x86_64/amd64)」を利用しているユーザーは、元々の予定通り2018年1月9日にカーネルのアップデートを受け取れる予定です。こにアップデートは、以下のOSを対象に提供される予定です。
| OS | 開発コード | Linux kernel |
|---|---|---|
| Ubuntu 17.10 | Artful | Linux 4.13 HWE |
| Ubuntu 16.04 LTS | Xenial | Linux 4.4/Linux 4.4 HWE |
| Ubuntu 14.04 LTS | Trusty | Linux 3.13 |
| Ubuntu 12.04 ESM | Precise | Linux 3.2 |
「Ubuntu 12.04」はすでにサポートが終了しており、継続的にサポートを受けるには有償サポート(Ubuntu Advantage)を契約している必要があります。
Ubuntu 18.04 LTS
2018年4月26日にリリース予定の「Ubuntu 18.04 LTS」では、アップストリームで本件に対応した「Linux kernel 4.15」が採用される予定です。クラウド
「Ubuntu」は、「Ubuntu Certified Public Cloud」向けに最適化した「Linux kernel」を提供していますが、これらの「Linux kernel」も同様に予定通りアップデートが提供される予定です。- Amazon
- Microsoft Public Cloud
- Oracle
- OVH
- Rackspace
- IBM Cloud
- Joyent
- Dimension Data
ただし「Ubuntu」のカスタムイメージや独自にカスタマイズされた「Linux kernel」を利用している「Canonical」に認定されていないパブリッククラウドは、対象外です。
ライブパッチ対象外
本件はライブパッチで提供されません。問題の対応にソースコードの変更が必要になりますが、そのパッチは数百の独立したパッチから構成され、数百のファイル及び数千のコード行に手を加える必要があります。
この非常に複雑なパッチ群は、「Linux kernel」のライブパッチの仕組みと互換性がありません。
そのため本件に対応した「Linux kernel」にアップデートしたら、PCの再起動が必要になります。
