UbuntuのUniverseリポジトリにあるownCloudのバージョンは古く、「複数の重大なセキュリティ脆弱性」を抱えています。これは周知の事実です。ownCloudプロジェクト自体が、ユーザーが脆弱なサーバーソフトウェアを利用できないようにするため、Ubuntuに削除を要請しました。UbuntuはownCloudに対し、代わりにメンテナンスを引き継ぐことを提案しました。OwnCloudはそれを馬鹿げた行為だと考えました。彼らはソフトウェアを開発したいだけで、あらゆるディストリビューションのリポジトリでメンテナンスする必要はないからです。
Ubuntuはついに対策を講じ、Ubuntu 14.04システム上の脆弱なownCloudサーバーソフトウェアを無効にする空パッケージをアップロードしました。しかし、この数週間にわたる一連の騒動は、Linuxソフトウェアのパッケージ化、配布、そしてアップデート方法に深刻な脆弱性があることを露呈しています。
Ubuntu のリポジトリに脆弱なソフトウェアが存在するのはなぜですか?
Linuxユーザーの多くは、Linuxディストリビューションのソフトウェアリポジトリからソフトウェアを入手します。これはソフトウェアを入手する最良かつ最も安全な方法だとLinuxユーザーには言われています。集中管理されたソースから簡単にインストールでき、その後はLinuxディストリビューションがアップデートとセキュリティアップデートをタイムリーに提供してくれます。
本来はそうなるはずですが、必ずしもそうとは限りません。今回のケースでは、ownCloud は Ubuntu の「Universe」リポジトリに含まれています。このリポジトリには、コミュニティによってサポートされているソフトウェアが多数含まれています。Canonical と主要な Ubuntu 開発者は、このソフトウェアをセキュリティアップデートでサポートすることを約束していません。
Ubuntu ソフトウェア センターの Steam。
Ubuntuソフトウェアセンターではこの点について小さな警告が出ていますが、ほとんどのLinuxユーザーはそれを見ることはありません。Universeリポジトリはデフォルトで有効になっているため、ほとんどのLinuxユーザーは、UbuntuソフトウェアセンターにあるソフトウェアのほとんどがUbuntuのセキュリティアップデートで公式にサポートされていないことに気づいていません。
Ubuntu コミュニティ (この場合、最初にソフトウェアをアップロードしてパッケージ化した人) は、ユーザーがセキュリティ アップデートを入手できるように、更新された安全な ownCloud パッケージをまとめる責任があります。
ownCloudの開発に携わっていた開発者が興味を失ったようで、1月以降アップデートはリリースされていません。今後もアップデートがリリースされる兆しはありません。
これは、ほとんどのLinuxディストリビューションのソフトウェアリポジトリの仕組みに関する、隠された暗い真実です。セキュリティアップデートの入手はコミュニティメンバーに頼らざるを得ず、彼らには実質的な義務はありません。彼らは別の用途に切り替え、脆弱なソフトウェアをシステムに残してしまうかもしれません。
CanonicalのMarc Deslauriers氏はメーリングリストで次のように説明しました。「Ubuntuのowncloudパッケージはuniverseにあります。つまり、Ubuntuコミュニティによってメンテナンスされているということです。誰かが率先して管理する必要があります。もし誰もそれをしなければ、残念ながら現状のままになってしまうでしょう。」
ownCloudとUbuntuが行き来する
この問題を解決するため、ownCloudはUbuntuメーリングリストにメッセージを送信するという非常に異例の措置を取りました。Ubuntu開発者に対し、リポジトリから当該パッケージを削除するよう要請したのです。もちろん、オープンソースソフトウェアであるため、開発者にこれを要求する法的権利はありません。しかし、開発者はユーザーがこの古くて脆弱なソフトウェアを使用することを阻止したいのです。
彼らの提案はシンプルに思えた。Ubuntuの開発者は、完全に空のパッケージの新バージョンを発行できるのだ。ユーザーがシステムをアップデートするとOwnCloudは削除され、ユーザーはopenSUSEビルドサービスによって作成されたUbuntu向けのownCloud提供パッケージからownCloudをインストールできる。ownCloudは、ユーザーのシステムをセキュリティアップデートで適時にアップデートする責任を負う。
Ubuntu リポジトリからインストールされた、脆弱なバージョンの ownCloud。
Ubuntuの開発者たちは当初、これに難色を示しました。「こんなのシステムの仕組みじゃない!」このパッケージは安定版リリース用にロックインされており、根本的に安全とは言えないサーバーソフトウェアであるにもかかわらず、大きな変更は加えられないはずです。実際に削除するのは極めて異例のことです。彼らは、Ubuntu内のownCloudパッケージのメンテナンスをownCloudが引き継ぎ、最新の状態に保つことを提案しました。少なくとも、空のパッケージを作成し、それを公開するための煩雑な手続きを踏むのはownCloudの仕事でした。
OwnCloudの開発者たちは、これはおかしいと考えました。彼らはソフトウェアの開発に集中したいと考えており、Linuxユーザーが様々なLinuxディストリビューションのパッケージとアップデートを入手できる単一の場所を既に提供しています。無数の異なるLinuxディストリビューション向けにソフトウェアをパッケージ化し、それを複数の異なるリポジトリで管理するのに時間を費やしたくなかったのです。ownCloudのLukas Reschke氏は次のように説明しています。
「私の側では、仕事はこれで終わりです。担当者には複数のチャネルを通じて通知しました。担当者が自力で問題を解決するつもりがないのであれば、私たちはそれで十分です。インストールガイドに大きなセキュリティ警告を追加するだけです。」
こうしたやり取りの過程で、Ubuntu ユーザーは、古くて脆弱なサーバー ソフトウェアを何週間も使い続けることになった。
OwnCloudはUbuntu 14.10のリポジトリには存在しませんが、Ubuntu 14.04のリポジトリには存在します。幸いなことに、Ubuntuは現在、脆弱なバージョンのownCloudを削除するための空パッケージをリリースする作業を進めています。KubuntuのJonathan Riddell氏が必要な作業を引き受け、事態を収拾しました。
これは定期的に起こる
これは一度限りの問題ではありませんが、今回はサーバー ソフトウェアに関するものであり、インターネットに直接公開されているため、侵害を受ける可能性があるソフトウェアであるため、大きな問題となっています。
過去に、私は個人的にLaunchpadでUbuntuに直接、セキュリティバグをいくつか報告しました。最もひどいケースでは、Sunとの提携でMultiverseリポジトリに追加されたJavaのバージョンが、メディアではSunがパッケージングに関して「Canonicalと直接提携している」と絶賛されていたにもかかわらず、古くて脆弱なパッケージのまま放置されていました。Ubuntuは、将来の開発中のUbuntuリリース向けにセキュリティアップデートをリリースしたにもかかわらず、現在のUbuntuリリース向けにJavaの最新版(セキュリティアップデート)を提供することは自らの仕事ではないと考えていたようです。2007年の悲しいバグ報告はこちらです。
Linux、BSD、Chrome OS、そして Windows 以外の世界の最新情報を知りたいですか? Windows 以外の世界のコラムページをブックマークするか、RSS フィードをフォローしてください。
結局のところ、独自のパッケージリポジトリとフォーマットを持つ多様なLinuxディストリビューションが問題を引き起こしています。パッケージは多くの場合、いつでも離脱する可能性のあるユーザーによって作成・メンテナンスされています。これを回避する方法はなく、Linuxにおいては深刻な問題となっています。
幸いなことに、Apacheのような一般的なサーバーソフトウェアやFirefoxのようなデスクトップソフトウェアには、より注意が払われています。例えば、これらはUbuntuの「メイン」リポジトリに含まれており、Canonicalはこれらのソフトウェアに対してタイムリーなセキュリティアップデートを提供することを約束しています。コミュニティによってサポートされているサーバーソフトウェアには注意が必要です。
