Linuxカーネルに欠陥--システムクラッシュのおそれあり

　Linuxシステムをクラッシュさせる恐れのあるプログラムがリリースされたことを受け 、同OSのユーザーに対して、コアコンポーネント内に見つかった欠陥を修正するよう呼びかけが行われた。

　先週末にlinuxreviewsというサイトに掲載された勧告によると、この欠陥は2人のソフトウェアプログラマが発見したもので、あるLinuxシステムにアクセス権限を持つユーザーがこれを悪用すると、C言語で書かれた数十行のコードを使って、そのシステムをクラッシュさせてしまえるという。

　「自分のシステムが安全だという十分な根拠でもない限り、自分のカーネルも脆弱であると想定すべきだ」と、Oyvind Saetherはこの勧告のなかで述べている。同氏は、この欠陥を発見したプログラマのひとりだ。

　Linux創始者のLinus Torvaldsはこの欠陥を修正するパッチを公開したが、そのソースコードの中に書かれたメモによると、「evil.c」と呼ばれるこのプログラムは、プロセッサの浮動小数点演算ユニットに特定のコードを送って問題を発生させるという。

　オープンソースのLinux OSも今年に入ってからは、欠陥が見つかったり、攻撃の的となったりするようになっている。開発中のオープンソースコードの管理によく利用されるCVS（Concurrent Versions System）というアプリケーションにも、複数の欠陥が見つかった。また3月と4月には、多くの大学の高性能コンピュータセンターにあるLinuxやSolarisのシステムが、オンライン攻撃者の標的となった。

　さらに、多くのLinuxのディストリビューションがインターネット上のコミュニケーションの安全性確保のために利用するOpenSSLというソフトウェアにも、複数の欠陥が発見された。

　14日には、Red HatのFedoraディストリビューションの開発に携わるスタッフが、この最新の問題を解決するために、Fedora Core 2のアップデート版を公開した。近々公開予定のLinuxカーネル2.6.7-RCでは、すでにこのカーネルパッチを適用済みだ。

　その他のLinuxディストリビューションでも、今週中に修正パッチが出される予定。

　Linux 2.6カーネルの管理者Andrew Mortonは、48時間以内に修正パッチを出すと約束しており、さらに今回の欠陥はそれほど深刻なものではないと述べた。

　「ローカルユーザーのマシンが動かなくなるバグは珍しくないし、ローカルユーザーがなんらかの原因、例えばメモリを使いきってしまい、マシンをダウンさせる可能性は常にある」

　Mortonは、欠陥を発見したプログラマらが、それを悪用するコードをリリースするまで、カーネルチームに何の連絡も寄越さなかったと述べ、これはセキュリティの世界ではあるまじき行為だと語った。