12年サポートのKubernetes “Canonical Kubernetes”、Ubuntu 24.04.2のリリース延期

12年サポートのKubernetes “Canonical Kubernetes”

Canonicalから「FedRAMPに対応する予定の⁠」⁠、最低12年間のセキュリティメンテナンスとサポートを提供するKubernetesプロダクトがリリースされます。“⁠Canonical Kubernetes⁠”と名付けられたこのプロダクトは、「⁠1.32ベースのまま12年間のセキュリティアップデートを利用できる」ことを特徴とします（これそのものとしては、かなり前からベータ提供が行われており、今回のポイントは「12年サポートが提供される」ことにあります⁠）⁠。

「そのまま」12年間利用するためにはOS側のサポートも提供される必要があるため、事実上はUbuntu Proの併用はほぼ必須に近く、場合によっては「KubernetesクラスタのOSアップグレード（Kubernetesクラスタとしてのバージョンは変更しない⁠）⁠」といった作業が必要になります。

さらに、12年のサポート期間の終わりには、「⁠12年間のあいだ、塩漬けにされてきてしまったシステム」を移行する必要があるというかなり強烈な命題をクリアする必要が出てくることと[1]、「⁠対象となるのがKubernetes 1.32」（⁠つまり、今動いている古めのKubernetes環境でサポートが得られるわけではない）という点には注意が必要です。システムの寿命や更改計画を適切に設計できる場合に利用する形に留めておき、「⁠あるべき姿」としては「2年ごとに更新される新しいKubernetes LTSを乗り換えていく」という方向を目指せるようにすることが重要でしょう。もちろん「その頃にはAIが全てを解決してくれるはずだ！」という発想で『投資』をしてしまうという考え方もありえます。取れるリスクではあるものの、このプログラムの利用費用だけではない部分のコストを見切りつつ、適切なリターンを見積もりながら利用するのが安全です。

[1] たとえば、現在から12年前は2013年2月です。この頃の環境は「Ubuntu 12.04 LTSにMySQL 5.6、あるいはPostgreSQL 8系やOracle DB 11i」といったものです。データベースだけでもなかなかに遠くを見てしまいたくなりますが、この環境を最新の環境に移植するには、言語処理系を含めて「当時」の技術スタックをそれなりに理解しているエンジニアを確保するか、あるいは黒ひげ危機一発と区別がつかないような、システム開発の現場で起きるべきではない野蛮な（しかしそれなりに見かけることがある）運試しに任せた対応をする必要があります。Kubernetesでこのような「事案」を引き起こした場合、古びた基盤とともに、なぜ無事に動いているかよく分からないようなPod＝コンテナイメージの両方が移植作業を担当するエンジニアリングチームに襲いかかることになりかねません。

Ubuntu 24.04.2のリリース延期

予期せぬ問題（ビルド関連ツールの意図せぬ仕様変更と、その判明がぎりぎりのタイミングだったこと）によって「HWEカーネルが含まれていない場合がある」という問題が生じたため、24.04.2のリリースが2月20日に延期されました。

ポイントリリースにはよくあること、というもので（実際、エンジニアリングリソースの払底やトラブルへの対応として遅れることはまったく珍しくありません⁠）⁠、何か大きな問題があった、という話ではありません。

その他のニュース

Ubuntuを用いたセキュリティ構築のための基礎知識。オチとして「ということでUbuntu Proを使いましょう」という展開が待っているものの、「⁠Cybersecurity is not about perfection. In fact, it’s more like a game of chess」（⁠サイバーセキュリティは、完全を目指すものではありません。現実には、チェスを遊ぶのと似ています）といった「モダンな」セキュリティに関する理解を回収するためには非常に良い記事です。
VP Engineering for Ubuntuに就任したJon Seagerによる、「⁠Ubuntuの次の20年のエンジニアリングについて」（⁠Engineering Ubuntu For The Next 20 Years）と題された過去の振り返りとこれから。Ubuntuの特徴的なプロセスの解説とともに、eza、bat、ghostty、uutilsなどが個人的には気になる、といったことが記載されており、「⁠今後のUbuntu」の各種ツールがどのように進化するのか、一定の示唆を与えてくれます[2]。Ubuntu的には、「⁠今後公開されていく予定である」とされている、各チームから出てくるものを楽しみにしておくのが良さそうです。
CanonicalがISO/SAE 21434認証を取得したというblog記事。ISO/SAE 21434は自動車文脈でのサイバーセキュリティマネジメントシステムの認証のひとつで、「⁠ライフサイクルにおいて、たとえシステムがクラックされたとしても、セキュリティを担保できるようにする」ことを実現できるマネジメントシステムが実装されていることを認証するためのものです（これそのものが何かを保証するというよりは「この認証を受けた組織は、適切な管理のもと、サイバーセキュリティについて一定の強度を持つ製品をリリースすることができます」ということを認証します⁠）⁠。つまりは、「⁠Ubuntuを用いた自動車システムは、サイバーセキュリティについて一定の強度を持つことができます」ということを意味することになり、「⁠Ubuntuが載った自動車」という方向性により現実味が生まれることになります。

今週のセキュリティーアップデート

usn-7248-1：libndpのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008972.html
Ubuntu 18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2024-5564を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7247-1：OpenCVのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008973.html
Ubuntu 22.04 LTS（Ubuntu Proのみ⁠）⁠・18.04 ESM用のアップデータがリリースされています。CVE-2019-14493, CVE-2019-16249, CVE-2019-19624, CVE-2023-2617, CVE-2023-2618を修正します。
悪意ある入力を行うことで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7249-1：libvpxのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008974.html
Ubuntu 18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2024-5197を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7234-3：Linux kernel (Azure)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008975.html
Ubuntu 20.04 LTS・18.04 ESM用のアップデータがリリースされています。CVE-2023-21400, CVE-2024-40967, CVE-2024-53103, CVE-2024-53141, CVE-2024-53164を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-7238-3：Linux kernel (Low Latency)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008976.html
Ubuntu 24.10用のアップデータがリリースされています。CVE-2024-53103, CVE-2024-53164を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-7096-2：OpenJDK 8の再アップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008977.html
Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。
usn-7096-1に問題があったため、8u442へ更新します。
対処方法：アップデータを適用の上、Javaアプリケーションを再起動してください。

usn-7253-1：OpenJDK 17のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008978.html
Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM用のアップデータがリリースされています。CVE-2025-21502を修正します。
OpenJDK 17.0.14相当のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、Javaアプリケーションを再起動してください。

usn-7254-1：OpenJDK 21のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008979.html
Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2025-21502を修正します。
OpenJDK 21.0.6相当のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、Javaアプリケーションを再起動してください。

usn-7255-1：OpenJDK 23のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008980.html
Ubuntu 24.10用のアップデータがリリースされています。CVE-2025-21502を修正します。
OpenJDK 23.0.2相当のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、Javaアプリケーションを再起動してください。

usn-7252-1：OpenJDK 11のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008981.html
Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2025-21502を修正します。
OpenJDK 11.0.26相当のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、Javaアプリケーションを再起動してください。

usn-7258-1：CKEditorのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008982.html
Ubuntu 24.10・24.04 LTS（Ubuntu Proのみ⁠）⁠・22.04 LTS（Ubuntu Proのみ⁠）⁠・20.04 LTS（Ubuntu Proのみ⁠）⁠・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2022-24728, CVE-2023-28439, CVE-2024-24815, CVE-2024-24816, CVE-2024-43411を修正します。
悪意ある入力を行うことで、本来秘匿されるべき情報へのアクセスが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7256-1：Rubyのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008983.html
Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2024-39908, CVE-2024-43398を修正します。
悪意ある入力を行うことで、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7257-1：Kerberosのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008984.html
Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2024-3596を修正します。
悪意ある入力を行うことで、認証の迂回が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7259-1：GNU C Libraryのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008985.html
Ubuntu 24.10・24.04 LTS・22.04 LTS・20.04 LTS・18.04 ESM用のアップデータがリリースされています。CVE-2025-0395を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7260-1：OpenRefineのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008986.html
Ubuntu 24.10・24.04 LTS（Ubuntu Proのみ⁠）⁠・22.04 LTS（Ubuntu Proのみ）用のアップデータがリリースされています。CVE-2023-37476, CVE-2023-41886, CVE-2023-41887, CVE-2024-23833, CVE-2024-47878, CVE-2024-47879, CVE-2024-47880, CVE-2024-47881, CVE-2024-47882, CVE-2024-49760を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-7206-4：rsyncの再アップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2025-February/008987.html
Ubuntu 24.10用のアップデータがリリースされています。
usn-7206-3にIPv6利用時の問題がありました。
対処方法：アップデータを適用の上、rsync daemonを再起動してください。