93
Ubuntu 24.04ベータ版はxz-utilsの悪意あるコードにより遅延、他のLinuxディストリビューションも影響を受ける
Linuxがハッカーの標的に
(画像クレジット:Pexels / OpenClipArt)

Discourse の投稿によると、明日リリース予定だった Ubuntu 24.04 (コードネーム: Noble Numbat) のベータ版が延期され、4月11日にリリースされる予定です。延期の理由は、悪意のあるコードによって侵害された CVE-2024-3094 (別名 XZ 圧縮ツール) だと言われています。

この遅れにより、4月25日に予定されている24.04の発売も遅れる可能性があるとの憶測も広がっている。

Discourseの投稿で、Łukasz 'sil2100' Zemczak氏は、Ubuntuの開発元であるCanonicalが「CVE-2024-3094コードがxz-utilsにコミットされた後(2月26日)、Noble Numbat向けにビルドされたすべてのバイナリパッケージを、新たにプロビジョニングされたビルド環境で削除し、再構築することを決定した」と発表しました。
これは、最新のUbuntuリリース向けにビルドされたバイナリは、xz-utilsを介して持ち込まれた最近の脅威の影響を受けないことを意味します。

アップストリームの xz リポジトリと xz tarball にバックドアが仕掛けられています。"

xz-utils パッケージは、Linux および Unix マシンで一般的に使用されている XZ 圧縮形式を使用してファイル/ディレクトリを圧縮するために使用されます。本稿執筆時点では、Ubuntu 24.04 (Noble Numbat) は xz-utils バージョン 5.6.1 を使用しており、これは影響を受けた 2 つのバージョンのうちの 1 つでした。Canonical は、既知の正常なコードビルド環境でパッケージを再構築することで、「当社のビルドに含まれるバイナリは、この新たな脅威の影響を受けていないという確信が得られる」と主張しています。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

ベータ版への影響としては、最終リリースに近いものを実際に試せるようになるまで、さらに1週間待たなければなりません(通常、正式リリース直前にはリリース候補版と呼ばれるリリースが存在します)。もちろん、試用可能なデイリービルドはありますが、悪意のあるコードが含まれていないことを保証することはできません。

これは4月25日のリリース日が延期されることを意味するのでしょうか?元Canonical社員で、著名なLinuxポッドキャスターであるAlan "Popey" Pope氏が、MastodonでUbuntu 24.04のリリースが延期される可能性についてアンケートを実施しました。執筆時点では、58%が予定通りリリースされると考えている一方で、42%が遅延の可能性を懸念しています。

Ubuntuのリリースが最後に延期されたのは2006年のことでした。Ubuntu 6.06「Dapper Drake」は、後に重要なLinuxディストリビューションとなるUbuntu 6.06に機能追加を実装するための時間をチームに与えるため、2ヶ月延期されました。Ubuntu 6.06では、ライブCDとインストールCDが統合され、グラフィカルインストーラとUSBドライブへのOSインストール機能も追加されました。 

他の Linux ディストリビューションも影響を受けますか?

helpnetsecurity.com がまとめたリストによれば、内容は少々雑多です。

  • Ubuntu 24.04 は影響を受けていますが、以前のリリースは影響を受けません。
  • Red Hat、Fedora Rawhide(現在のFedora Linux開発ビルド)、およびFedora 40が影響を受けます。Red Hat Enterprise Linux(RHEL)のバージョンは影響を受けません。
  • Debian では、安定版リリースは影響を受けませんが、Debian のテスト、不安定版、実験版リポジトリのパッケージを使用するユーザーは、xz-utils パッケージを更新することを強くお勧めします。
  • 3月26日から29日の間にシステムを更新したKali Linuxユーザーが影響を受けます。
  • 一部の Arch Linux インストール メディア、コンテナー、仮想マシンが影響を受けます。
  • Linux Mint、Gentoo Linux、Alpine Linux、Amazon Linux は影響を受けません。

Raspberry Pi 5 で実行されている Raspberry Pi OS で、xz が 5.4.1 であることが示されています。

(画像提供:Tom's Hardware)

最新のRaspberry Pi OS(2024年3月7日時点のカーネル6.6.20)を搭載したRaspberry Pi 5をテストしたところ、xzのバージョン番号は5.4.1でした。つまり、私たちのお気に入りのシングルボードコンピューターは問題なく動作しているようです。

レス・パウンダーは、トムズ・ハードウェアのアソシエイトエディターです。クリエイティブテクノロジストとして、7年間にわたり、老若男女を問わず、教育と啓発のためのプロジェクトを手がけてきました。Raspberry Pi Foundationと協力し、教師向けトレーニングプログラム「Picademy」の執筆・提供にも携わっています。

Deals
Posted by Lorlink