Linuxオペレーティングシステム(OS)に3つのセキュリティ脆弱性が見つかった。これらを合わせて悪用すると、一般ユーザーでもLinuxサーバやワークステーションのルート権限を手に入れてしまえる可能性があると、セキュリティ研究者らが警告している。
3つの脆弱性のうち、2つはLinuxカーネル(OSの中核部分)のメモリ管理機能に存在する。ポーランドのセキュリティ会社、iSEC Security Researchが18日(米国時間)にリリースした勧告によると、現行のすべてのLinuxがこれらの脆弱性の影響を受けるという。3つ目の脆弱性は、ATI Technologiesの「Rage 128」ビデオカードをサポートしているカーネルモジュールに影響する。
Linuxは共有サーバで使用されることが多いため、一般ユーザーがコンピュータへのアクセス権を拡大してしまえるようなセキュリティホールは深刻だ、とセキュリティソフトウェア会社Symantecのシニア・エンジニアリングディレクターAlfred Hugerは述べている。しかし、部外者がコンピュータに侵入できるような欠陥ほどの深刻性はないとHugerは言う。
「攻撃者がマシンへのアクセス権を入手できるとしたら、結局ルート権限までも手に入れられるはずだろう」(Huger)。ルートユーザーとは、LinuxやUnixでコンピュータの完全な制御権を持つユーザーを指す標準的な呼び名だ。
たとえば、最近発表されたWindowsの脆弱性は、Windows OSが稼働するすべてのマシンで、攻撃者が別のコンピュータからコードを実行できるというもので、今回のLinuxの脆弱性よりもより深刻だ。この脆弱性を悪用すれば、インターネットに接続している脆弱なコンピュータにワームを広めることも可能になる。これに対してLinuxカーネルのセキュリティホールは、ある1台のコンピュータに侵入しようとする攻撃者に悪用されるものだ。
Linux Kernel Projectはカーネル2.4シリーズの新バージョン2.4.25をリリースし、この脆弱性を修正した。同プロジェクトは1月にも、iSECが発見した別の脆弱性を修正するために2.4.24カーネルをリリースしており、脆弱性の修正パッチとしてのアップデートリリースは、今回で今年2度目となる。
昨年9月には、攻撃者が開発者のコンピュータに侵入して、LinuxのDebianディストリビューション開発用の複数の主要サーバのアクセス権を拡張できてしまうという、カーネルの別の脆弱性も見つかっている。
独自のLinuxバージョンをパッケージ化しているLinuxディストリビュータ各社や各プロジェクトは、急いで欠陥修正のためのアップデートをリリースした。Red HatやNovellのSuSE Linux、DebianなどのLinuxディストリビューションでは、19日午前までに修正パッチがリリースされた。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」