何者かが、一般公開されているデータベースに侵入し、そこに保存されていた次期バージョンのLinuxカーネルのコードに、トロイの木馬プログラムを挿入しようとした。
Linux開発の中心的な人物が5日(米国時間)明らかにしたところによると、BitKeeperと呼ばれるソースコード・レポジトリで、そのセキュリティ機能が、過去24時間以内に不正に変更されていたのが見つかり、この一般向けデータベースが閉鎖されたという。BitKeeperでは、Linuxカーネルのテストバージョンである最新ベータ版が、ソースコード管理プログラムConcurrent Versions System(CVS)のユーザー向けに提供されていただけだった。
ソフトウェア開発会社BitMoverの創立者でソースコードデータベースBitKeeperの設計を主に担当したLarry McVoyは、カーネルにセキュリティ脆弱性を引き起こしたかもしれない変更は、Linuxコードには反映されておらず、脅威にはならないと話している。
「今回の変更は、開発ツリーには全く影響していない」とMcVoyは言う。「BitKeeperでは、コードにおかしなところがないかどうかに神経質な程気を配っており、これがトロイの木馬発見のカギとなった」(McVoy)
Linuxの生みの親で、カーネルの主導的開発者であるLinus Torvaldsは、BitKeeperを利用して、同OSの中核となるソフトウェアの変更履歴を記録している。BitKeeperは毎日、他の開発者が利用している公開/非公開データベースに、変更内容を移送している。
McVoyによると、何者かがあるサーバに侵入して、ソースコードファイルの1つに小さな変更を行ったようだという。この変更から生じた欠陥で、そのソースコードをコンパイルしたカーネルが稼動する全てのLinuxマシン上で、ユーザー権限のレベルを上げられてしまう可能性がある。ただし、この影響が及ぶのは、コードが変更されてから、それが検知されるまでの24時間以内に、このデータベースを利用した開発者だけだ、とMcVoyは述べた。
「我々は真っ先に変更箇所を元に戻した。変更箇所は5分で見つかった」(McVoy)
BitKeeperは、ソースコードを他のサーバに移送する際、全てのファイルにおかしな箇所がないかをチェックし、ファイルの正式バージョンとリモートマシンのバージョンとのデジタル識別子を照合する。この比較によって、サーバに記録されたコードに変更があったことが判明した。
Linux Torvaldsはこの問題に関して、Linuxカーネルメーリングリストに投稿を行なっている。
「現行システムは、複数の仕組みのおかげでかなり安全になっている」とTorvalds。「誰かが(BitKeeperの)ツリー(ソフトウェアレポジトリ)に直接アクセスしようとすると、直ちに通知されるというのも、そうした仕組みの1つだ」(Torvalds)
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス