Linuxに「極めて深刻」な脆弱性--レッドハット、SuSEらがパッチリリース

　Red Hat、Novell、およびMandrakesoftのLinuxベンダー各社は米国時間12日、DoS（サービス拒否）攻撃を可能にする欠陥や、バッファオーバーフローなどの複数の脆弱性に対処するパッチをリリースした。

　リリースされたアップデートのうち5つは、セキュリティ情報ベンダーSecuniaによって13日に「極めて深刻」に分類されているもの。Red Hatは3つ、Novell傘下のSuSEは1つ、そしてMandrakesoftも1つのアップデートをリリースした。

　SuSEのアップデートは、特別に作成したAcrobatドキュメントを使うことで悪質なコードがローカルなDoS攻撃を仕掛けられる脆弱性などに対応する。この脆弱性はSuSE Linuxベースの大半の製品に影響する。

　SuSEによると、ネットワークトラフィックのルーティングに利用されるLinuxシステムコンポーネントにも脆弱性があり、netfilterのデータストリームに誤情報を挿入することで、悪意のある者がローカルでのDoS攻撃を仕掛けられるようになるという。

　一方、Red Hatは自社のDesktop、Enterprise、およびAdvanced-Workstationの各ソフトウェア向けにアップデートパッケージを公開した。

　アップデートされたlibtiffパッケージは、各種の整数オーバーフローに関連する脆弱性に対応するもの。この脆弱性を利用すると、攻撃者がユーザーをだまして悪質なTIFFフォーマットの画像ファイルを開かせ、libtiff関連アプリケーションをクラッシュさせたり、任意のコードを用いてコンピュータに危害を加えられるようになる。

　Red Hatはまた、バッファオーバーフローにつながる脆弱性に対処すべく、Xpdfパッケージのアップデートもリリースした。XpdfはPDF（Portable Document Format）ドキュメント閲覧用のスタンドアロンアプリケーションで、多くのLinuxプログラムで利用されている。Red Hatの最新情報によると、この脆弱性があると、攻撃者がXpdfをクラッシュさせ、場合によっては、オープン時に任意のコードを実行できるPDFファイルが作成できてしまうという。

　Red Hatはさらに、同社のXpmライブラリにある欠陥を解消するパッチも複数リリースした。XPixMap（XPM）フォーマットは、移植の簡単なファイルのなかにカラー画像を保存できるようにするもの。

　XPM画像のデコードに利用されるlibXpmライブラリには、スタックオーバーフローの欠陥や、整数オーバーフローの脆弱性が複数見つかっている。このため、攻撃者がアプリケーションをクラッシュさせるようなXPMファイルを作成すると、コンピュータシステムが危険にさらされる可能性がある。

　Mandrakesoftも、旧バージョンのGNOMEデスクトップがグラフィックス処理に利用するImlib標準コードセットのアップデートをリリースした。