logo

Linuxカーネルに3つの脆弱性--一般ユーザーがフル権限を手に入れるおそれあり

Robert Lemos(CNET News.com)2004年02月20日 08時56分
  • このエントリーをはてなブックマークに追加

 Linuxオペレーティングシステム(OS)に3つのセキュリティ脆弱性が見つかった。これらを合わせて悪用すると、一般ユーザーでもLinuxサーバやワークステーションのルート権限を手に入れてしまえる可能性があると、セキュリティ研究者らが警告している。

 3つの脆弱性のうち、2つはLinuxカーネル(OSの中核部分)のメモリ管理機能に存在する。ポーランドのセキュリティ会社、iSEC Security Researchが18日(米国時間)にリリースした勧告によると、現行のすべてのLinuxがこれらの脆弱性の影響を受けるという。3つ目の脆弱性は、ATI Technologiesの「Rage 128」ビデオカードをサポートしているカーネルモジュールに影響する。

 Linuxは共有サーバで使用されることが多いため、一般ユーザーがコンピュータへのアクセス権を拡大してしまえるようなセキュリティホールは深刻だ、とセキュリティソフトウェア会社Symantecのシニア・エンジニアリングディレクターAlfred Hugerは述べている。しかし、部外者がコンピュータに侵入できるような欠陥ほどの深刻性はないとHugerは言う。

 「攻撃者がマシンへのアクセス権を入手できるとしたら、結局ルート権限までも手に入れられるはずだろう」(Huger)。ルートユーザーとは、LinuxやUnixでコンピュータの完全な制御権を持つユーザーを指す標準的な呼び名だ。

 たとえば、最近発表されたWindowsの脆弱性は、Windows OSが稼働するすべてのマシンで、攻撃者が別のコンピュータからコードを実行できるというもので、今回のLinuxの脆弱性よりもより深刻だ。この脆弱性を悪用すれば、インターネットに接続している脆弱なコンピュータにワームを広めることも可能になる。これに対してLinuxカーネルのセキュリティホールは、ある1台のコンピュータに侵入しようとする攻撃者に悪用されるものだ。

 Linux Kernel Projectはカーネル2.4シリーズの新バージョン2.4.25をリリースし、この脆弱性を修正した。同プロジェクトは1月にも、iSECが発見した別の脆弱性を修正するために2.4.24カーネルをリリースしており、脆弱性の修正パッチとしてのアップデートリリースは、今回で今年2度目となる。

 昨年9月には、攻撃者が開発者のコンピュータに侵入して、LinuxのDebianディストリビューション開発用の複数の主要サーバのアクセス権を拡張できてしまうという、カーネルの別の脆弱性も見つかっている。

 独自のLinuxバージョンをパッケージ化しているLinuxディストリビュータ各社や各プロジェクトは、急いで欠陥修正のためのアップデートをリリースした。Red HatやNovellのSuSE Linux、DebianなどのLinuxディストリビューションでは、19日午前までに修正パッチがリリースされた。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

-PR-企画特集