人気オープンソースソフト2種に相次ぎ脆弱性見つかる

  • このエントリーをはてなブックマークに追加

 Microsoft Windowsの脆弱性がニュースで大々的に報じられるなか、研究者らは先週、広く使われている2つのオープンソースのソフトに脆弱性を発見した。

 2つの脆弱性のうち、より深刻なのは、オープンソースの電子メールサーバプログラム、Sendmailの脆弱性だ。米Internet Security Systemsのエンジニアリングマネジャー、Dan Ingevaldsonによると、Sendmailが電子メールのヘッダを解析する方法のなかに、問題の脆弱性が存在するという。

 「これは非常に重大な脆弱性だ」とIngevaldsonは述べ、コンピュータ攻撃者がこの脆弱性を悪用する恐れがあると付け加えた。また先週、OpenSSHプログラムに見つかった別の脆弱性が悪用される可能性は、それほどはっきりしていないとIngevaldsonは言う。

 IngevaldsonはOpenSSHの脆弱性について、「理論の域を出ていないが、悪用される可能性はある」と述べている。OpenSSHは、ネットワーク管理者がシステムにリモートからログインしたり、コンピュータなどのネットワーク機器へのアクセスを暗号化したりするのに利用しているプログラムだ。

 OpenSSHの脆弱性は、悪用される恐れの有無は定かでないが、悪用される可能性があるとすれば深刻な問題だ。この脆弱性はユーザー認証以前の部分にあるため、ユーザーはログインするための権限を持っていなくてもこの脆弱性を悪用できる、とカーネギーメロン大学CERT Coordination Centerのインターネットセキュリティ・アナリスト、Jason Rafailは述べている。

 CERTは16日(米国時間)、OpenSSHの脆弱性に関する勧告を発表した。またSendmailの脆弱性については18日に勧告を公表している。

 OpenSSHの脆弱性は、プログラムがバッファと呼ばれるストレージ領域にデータを保存する方法のなかに存在し、バージョン3.7.1より前のバージョン全てに影響する。米Cisco Systemsは、同社製品のなかにこの脆弱性の影響を受けるものがあると述べている。また、米Red Hatや米Sun Microsystems、米IBMのAIX Toolbox for Linuxでは全て、脆弱性のあるOpenSSHバージョンが使用されている。

 Sendmailの欠陥は8.12.10以前のバージョンに影響する。IBMやRed Hatなどの製品にはSendmailが利用されており、脆弱性の影響を受ける可能性がある。

 SendmailもOpenSSHも、大企業で広く利用されているため、ハッカーにとっては魅力的なターゲットとなる、とIngevaldsonは述べている。「ハッカーは価値の高いターゲットを攻撃したがるものだ」(Ingevaldson)

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加