Ubuntu

Ubuntu 26.04、完全Rust化先送り44件のCVE

Canonicalが本日リリースのUbuntu 26.04 LTSを前に、Rust版coreutilsの監査で113件の問題と44件のCVEを公表した。cp・mv・rmだけはGNU版を残し、完全Rust化は26.10に持ち越される。

情報の灯台

情報の灯台

Ubuntu 26.04、完全Rust化先送り44件のCVE

Canonicalが本日リリースのUbuntu 26.04 LTSを前に、Rust版coreutilsの監査で113件の問題と44件のCVEを公表した。cpmvrmだけはGNU版を残し、完全Rust化は26.10に持ち越される。

113件の問題と44件のCVEが明るみに出た

GNU coreutilsからRust実装への置き換えは、いまLinuxコミュニティで最も神経を尖らせている話題のひとつになっている。Canonicalは本日2026年4月23日のUbuntu 26.04 LTSリリースに合わせ、独立系セキュリティ企業Zellicに委託した外部監査の結果を公開している。LTS同梱の可否がかかる成績表が、そのまま世に出た形だ。

監査は2ラウンドに分けて進められた。2025年12月から2026年1月の第1ラウンドで優先度の高いユーティリティを、2026年2月から3月の第2ラウンドで残りを検査している。両ラウンドを合わせて113件(73+40)の問題が検出され、このうち44件がCVE(CVE-2026-35338〜CVE-2026-35381)として採番された。

Zellicは世界トップクラスの競技ハッカーとセキュリティ専門家を擁する研究組織で、第2ラウンドではアップストリーム(upstream)のuutilsプロジェクトへ直接30件のプルリクエストで緩和策を提供した。

注目すべきは、この数字が公表されたタイミングと温度感だ。Canonicalは「アップストリームコミュニティの対応は迅速で、問題の大半は解消済み」だと強調している。ただし裏を返せば、LTSへの同梱が近づくまで100件超の欠陥が水面下で動いていたことになり、オープンにしたからこそ評価できる透明性と言える。閉じたまま出荷していたなら、ユーザー側はCVE番号を数えることさえできなかった。

cpmvrmだけGNU版が残る理由

Ubuntu 26.04 LTSに搭載されるのはrust-coreutils 0.8.0で、監査で見つかった修正の多くを取り込んでいる。しかしファイル操作の要であるcpmvrmの3つだけは、GNU coreutilsが引き続き担当する。

理由はシンプルで、TOCTOU問題(time-of-check to time-of-use)がまだ残っているからだ。TOCTOUはファイルの状態を確認してから実際に操作するまでの僅かな隙に、攻撃者が対象を差し替えられる古典的な競合状態を指す。cpがコピー先を確認した直後にシンボリックリンクを挟み込まれれば、意図しないファイルが上書きされる、といったシナリオが成立しうる。

TOCTOU(time-of-check to time-of-use)は、プログラムが権限やパス、ファイル属性をチェックした瞬間と、その情報に基づいて動作する瞬間のあいだに状態が変わることで生じる脆弱性の総称だ。ファイル操作系ユーティリティは歴史的にこの罠にはまりやすい。

Canonicalが示した数字によれば、2026年4月22日時点でcpmvrmdfに未解決のTOCTOU関連イシューが残り8件ある。これらが潰れきっていない状態でLTSに同梱するわけにはいかない、という判断だ。5年サポートの基盤コマンドで起動時・バックアップ時・スクリプト実行時に踏み抜いたら取り返しがつかない以上、妥当な線引きに見える。

100%Rust化は26.10へ持ち越し

Canonicalの中期的な目標ははっきりしている。Ubuntu 25.10でrust-coreutilsをデフォルトにしたのは、LTS同梱の前に実世界での使用量を稼ぐためだった。つまり25.10ユーザーは意図的なテストベッドに据えられており、その成果が今回の監査修正に回っている。

我々の計画は、残存する問題をできる限り早く解決し、Ubuntu 26.10で100% rust-coreutilsを達成することだ。

2026年10月に予定される非LTS版のUbuntu 26.10で、残るcpmvrmも含めてすべてRust実装へ切り替えるのが現時点のロードマップだ。次の本命は2028年のUbuntu 28.04 LTSで、この時点でGNU coreutilsを完全引退させられるかが、長年のUnix文化にとっての本当の分岐点になる。

透明性の演出か、本物の姿勢か

投稿のコメント欄では、さっそく「この透明性には敬意を払う。ここ20年のテック界隈で珍しいことだ」といった反応が並んでいる。たしかに、監査結果を数字とCVE番号込みで自ら開示するやり方は、致命的欠陥を抱えたまま出荷するより何倍もまっとうだ。

一方で忘れてはいけないのは、今回の監査は「問題を発見したから公開した」のではなく、「LTSに載せるために必要だったから実施した」という順序だ。Canonicalが自発的に高い透明性を選んだというより、LTSの品質担保ラインを越えるための通過儀礼として外部監査が走った、と読むのが実態に近い。それでも、そのプロセスを隠さず見せる選択自体は評価に値する。

Rustの採用は「メモリ安全なのだから安全」という単純な話ではなく、既存の実装が何十年もかけて踏んできた地雷をもう一度踏み直すプロセスでもある。今回の113件という数字は、その現実を正面から映している。答え合わせは、26.10と28.04のときに来る。

参照元

関連記事

Read more

英GCHQが初の市販デバイスSilentGlass発表

英GCHQが初の市販デバイスSilentGlass発表

GCHQ傘下NCSCが、HDMIとDisplayPort経由の悪意ある信号を遮断するデバイスSilentGlassを公開した。政府施設で数年前から稼働中という触れ込みだが、何から守るのかをNCSCは答えない。 GCHQが売り始めた「モニター防御装置」 英国の信号諜報機関GCHQが、史上初めて自ブランドの市販ハードウェアを世に出す。国家サイバーセキュリティセンター(National Cyber Security Centre、以下NCSC)が22日、グラスゴーで開催中のCYBERUK 2026で発表したSilentGlassというプラグアンドプレイ型のデバイスだ。 HDMI用とDisplayPort用それぞれに専用機種があり、コンピュータとモニターの間に挟むだけで「予期しない、または悪意ある通信」を遮断するという。NCSCが知的財産を保有し、英国のサイバーセキュリティ企業Goldilock Labsが製造・販売の独占ライセンスを受けた。製造はラズベリーパイ(Raspberry Pi)も受託製造する南ウェールズのSony UK Technology Centreが担う。 NCSC