OpenSSH、2つ目の欠陥にパッチ

　セキュアなコミュニケーション技術の開発を目指すオープンソースプロジェクト、 OpenSSHは23日、2つ目のセキュリティホールを修正した。このセキュリティホールは、ある重要なセキュリティ機能をオフにしたユーザーだけに影響を与えるものだ。

　欠陥が見つかったのは、Pluggable Authentication Modules (PAMs)というオープンソースのツール。このツールは、Sun SolarisやLinux、BSDシステムに採用されており、システム管理者がユーザーのコンピュータ接続方法を簡単に変更できるようにするものだ。これまでは、PAMを使って、たとえば初期設定のログイン手続きを、スマートカードベースの手続きへと変えることができていた。

　 同プロジェクトでは、OpenSSHの最新リリースで、新PAM機能のオープンソースバージョンを利用し始めた。ところが、先週欠陥が見付かり、特権分離機能（Privileged separation）というセキュリティ機能をオフにしているOpenSSHに限って、この欠陥の影響を受けることがわかった。

　OpenSHHプロジェクトの共同創始者であるTheo de Raadtは、「この欠陥は、初期設定のままになっている場合、問題を引き起こさない」と言い、さらにこの欠陥が、Sun Solarisのサーバ上で稼動しているOpenSSHのみに影響していることも明らかだと付け加えた。

　特権分離機能とは、プログラムを2つに分断するセキュリティ手法で、コンピュータ上のほとんど全てのファイルを修正できるようなシステム特権付きの小さなコンポーネントと、特権が制限された残りのプログラムに分断される。この手法により、ソフトウェア開発者が詳細に検査しなければならないコードが減り、プログラムの安全性を保ち易くなる。

　この機能は「（攻撃に利用されて）大きな欠陥に発展する可能性がある普通のバグを取り除き、ユーザーを被害から守る」とde Raadtは言う。

　この理由から、頭のいいシステム管理者がこの機能をオフにしている可能性は低く、機能がオンになってさえいれば、今回発見された欠陥の影響は受けない。

　この欠陥についての記事が、有名なSlashdotのニュースブログに掲載された後、de Raadtはその記事を単なる空騒ぎといって非難した。OpenSSHの管理者が、2週間で2つの欠陥を修正したことを認めた上で、de Raadtは、どちらの欠陥も初期設定のままのシステムには影響を与えない点を強調した。

　「僅かな数のシステムに影響を与えるオープンソースの欠陥が、数百万のシステムに影響を与えているMicrosoftの欠陥と、同じレベルの扱いをされている」と、de Raadtは言う。OpenSSHのコードを使用しているコンピュータシステム及びネットワーク機器で、特権分離機能をオフにしているものがどれほどあるのかは、分かっていない。