Ubuntu 26.04 LTS(コードネーム resolute)のベータリリースが近づいてきた。今週は開発進捗のアップデートが複数あったほか、AppArmorに発見された「CrackArmor」と呼ばれる権限昇格脆弱性が公表され、現行ユーザーには早急なアップデートが求められている。この記事では開発状況と脆弱性の詳細を整理する。
Ubuntu 26.04 開発進捗まとめ
現時点で確定・進行中の主な変更点は以下の通り。
- カーネル: 6.20(7.0になる見込み)の準備が進行中。変更点サマリーが公開された
- 年齢確認機能の追加: OS側がアプリケーションに年齢情報を伝える仕組みが投入された。EU圏などの法規制対応が目的
- ISOイメージQA: 旧来の
ISO Trackerから新設のtests.ubuntu.comベースへ移行 - リリースノートの移行: Discourseでの管理から
documentation.ubuntu.com(Read the Docs / Sphinx / GitHub)ベースへ。従来のDiscourse管理は運用上の限界があったとのことで、これは合理的な判断 - Dracutのデフォルト移行: 今回もデフォルト切り替えのみの対応になる模様
地味ながら、UIコンポーネント(アイコン・スプラッシュ)の改修や細かなアニメーション追加も裏側で進んでいる。
「CrackArmor」脆弱性とは何か
今回の一番のトピックは、AppArmorに関連した権限昇格の脆弱性「CrackArmor」だ。
AppArmorはUbuntuに搭載されている強制アクセス制御(MAC: Mandatory Access Control)機構で、プロセスごとにファイル・ネットワーク等へのアクセスを制限できる。今回発見されたのは、AppArmorだけでなく su や sudo などのプログラムを組み合わせることで、ローカルユーザーがroot権限を奪取できるという攻撃経路だ。
攻撃の前提条件と特徴を整理すると:
- ローカルユーザー権限が必要(ネットワーク越しの直接攻撃ではない)
- AppArmor単体のバグではなく、複数コンポーネントの組み合わせによる問題
- ネットワーク経由の攻撃には「まず一般ユーザー権限の奪取」というフェーズが必要
対処法はシンプルで、システムをアップデートするだけ。修正パッチはすでに提供されている。
sudo apt update && sudo apt upgradesudo-rsが影響を受けない理由が興味深い
Ubuntu 25.10(Questing Quokka)以降でデフォルトになったsudoのRust実装「sudo-rs」はこの脆弱性の影響を受けない。理由が面白くて、「Rustで書いたから安全」という話ではなく、「メール通知機能を実装していない」という設計上の判断によるものだ。
攻撃面になりうるが利用者が少ない機能を意図的に未実装にしておく、というアプローチで結果的に攻撃経路が存在しない状態になっている。リファクタリング時に「本当に必要な機能は何か」を見直したことのメリットが現れた形だ。sudo-rsを使っている25.10以降のユーザーはこの点では安心していい。
その他の注目ニュース
- Canonical、Rust Foundationのゴールドメンバーに: sudo-rsのRust採用にとどまらず、Rustエコシステムへの本格コミットが見える
- RISC-V SnapをQEMUでテスト: 実機なしでRISC-V向けSnapパッケージを検証する手順が整備された
- Snykがchiseled Ubuntuコンテナのスキャンに対応: セキュリティスキャンの死角が一つ減った
- Advantech MIC-770 V3W: Ubuntu 24.04 LTS認定取得
まとめ
Ubuntu 26.04 LTSは2026年4月リリースに向けて着実に進行中だ。現在のUbuntuユーザーはCrackArmor対応のためすぐにシステムアップデートを実行してほしい。sudo-rsへの移行が進む25.10以降ではこの問題は回避されているが、24.04 LTSユーザーは特に注意が必要だ。開発サイドでは、リリースノートのSphinx/GitHub移行など地道なインフラ改善も進んでおり、LTSとしての品質担保に力を入れている印象を受ける。