オープンソースの開発者らは5日(米国時間)、Linuxカーネルのなかに見つかった複数のバグを早急に修正するべく、新バージョンのカーネルをリリースした。このバグのなかには、深刻なセキュリティ関連の欠陥も2つ含まれている。
Linuxカーネルのバージョン2.4.24は、1カ月前にリリースされた同カーネルの前バージョンへのアップグレードで、2つのセキュリティ欠陥を含む6つの問題に対応するパッチだけが含まれている。
2.4カーネルシリーズの管理者で、データセンター管理会社米Cycladesで働くLinux開発者のMarcelo Tosattiは、今回の新リリースについて、ユーザーにすぐにアップグレードしてもらうために行なったものと述べている。
「これらのセキュリティ問題は、できる限り早く修正されねばならない」とTosattiは5日に行なったCNET News.comのインタビューで述べている。Tosattiは管理者として、カーネルの変更部分や、カーネルの新バージョンのリリース時期を決定する権限を持っている。
今回発表になったなかで最も深刻な欠陥は、仮想メモリが使用する機能のなかにあるもので、昨年11月に修正された脆弱性に類似している。この脆弱性は、オープンソース開発者が使用する複数の主要Linuxサーバが何者かに攻撃され、乗っ取られるという被害をもたらした。その脆弱性も今回の欠陥も、攻撃者が通常のユーザーアカウントの権限を、システム所有者の権限に引き上げることができるというものだ。
今回見つかった欠陥によって、Linuxシステムのセキュリティが損なわれる恐れがあることが明らかになった時点で、Tosattiら開発者は修正パッチを直ちにリリースすることにした、とTosattiは話している。カーネル開発者らはこの決定を受け、開発者やユーザーが次世代Linuxカーネルであるバージョン2.6に移行するよう促すため、2.4カーネルシリーズに含める新機能を減らすことにした。2.4カーネルに含まれる予定だった最終的な機能は、次バージョンにまで持ち越されることになったと、Tosattiは述べている。
「コードをこれだけ早くリリースできたのは良いことだ。これが可能だったのはオープンソースだからだ」(Tosatti)
もう1つのセキュリティ欠陥は、デバイスドライバの問題で、カーネルが使用しているメモリを攻撃者に読み取られる恐れがあるという。
Linuxカーネルの最新バージョンは、Kernel.orgからダウンロードできる。個別のLinuxディストリビューション用のパッチは、各開発元からダウンロード可能だ。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果