logo

Linuxカーネルに欠陥--システムクラッシュのおそれあり

Robert Lemos(CNET News.com)2004年06月16日 15時08分
  • このエントリーをはてなブックマークに追加

 Linuxシステムをクラッシュさせる恐れのあるプログラムがリリースされたことを受け 、同OSのユーザーに対して、コアコンポーネント内に見つかった欠陥を修正するよう呼びかけが行われた。

 先週末にlinuxreviewsというサイトに掲載された勧告によると、この欠陥は2人のソフトウェアプログラマが発見したもので、あるLinuxシステムにアクセス権限を持つユーザーがこれを悪用すると、C言語で書かれた数十行のコードを使って、そのシステムをクラッシュさせてしまえるという。

 「自分のシステムが安全だという十分な根拠でもない限り、自分のカーネルも脆弱であると想定すべきだ」と、Oyvind Saetherはこの勧告のなかで述べている。同氏は、この欠陥を発見したプログラマのひとりだ。

 Linux創始者のLinus Torvaldsはこの欠陥を修正するパッチを公開したが、そのソースコードの中に書かれたメモによると、「evil.c」と呼ばれるこのプログラムは、プロセッサの浮動小数点演算ユニットに特定のコードを送って問題を発生させるという。

 オープンソースのLinux OSも今年に入ってからは、欠陥が見つかったり、攻撃の的となったりするようになっている。開発中のオープンソースコードの管理によく利用されるCVS(Concurrent Versions System)というアプリケーションにも、複数の欠陥が見つかった。また3月と4月には、多くの大学の高性能コンピュータセンターにあるLinuxやSolarisのシステムが、オンライン攻撃者の標的となった。

 さらに、多くのLinuxのディストリビューションがインターネット上のコミュニケーションの安全性確保のために利用するOpenSSLというソフトウェアにも、複数の欠陥が発見された。

 14日には、Red HatのFedoraディストリビューションの開発に携わるスタッフが、この最新の問題を解決するために、Fedora Core 2のアップデート版を公開した。近々公開予定のLinuxカーネル2.6.7-RCでは、すでにこのカーネルパッチを適用済みだ。

 その他のLinuxディストリビューションでも、今週中に修正パッチが出される予定。

 Linux 2.6カーネルの管理者Andrew Mortonは、48時間以内に修正パッチを出すと約束しており、さらに今回の欠陥はそれほど深刻なものではないと述べた。

 「ローカルユーザーのマシンが動かなくなるバグは珍しくないし、ローカルユーザーがなんらかの原因、例えばメモリを使いきってしまい、マシンをダウンさせる可能性は常にある」

 Mortonは、欠陥を発見したプログラマらが、それを悪用するコードをリリースするまで、カーネルチームに何の連絡も寄越さなかったと述べ、これはセキュリティの世界ではあるまじき行為だと語った。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

-PR-企画特集