Linuxシステムをクラッシュさせる恐れのあるプログラムがリリースされたことを受け 、同OSのユーザーに対して、コアコンポーネント内に見つかった欠陥を修正するよう呼びかけが行われた。
先週末にlinuxreviewsというサイトに掲載された勧告によると、この欠陥は2人のソフトウェアプログラマが発見したもので、あるLinuxシステムにアクセス権限を持つユーザーがこれを悪用すると、C言語で書かれた数十行のコードを使って、そのシステムをクラッシュさせてしまえるという。
「自分のシステムが安全だという十分な根拠でもない限り、自分のカーネルも脆弱であると想定すべきだ」と、Oyvind Saetherはこの勧告のなかで述べている。同氏は、この欠陥を発見したプログラマのひとりだ。
Linux創始者のLinus Torvaldsはこの欠陥を修正するパッチを公開したが、そのソースコードの中に書かれたメモによると、「evil.c」と呼ばれるこのプログラムは、プロセッサの浮動小数点演算ユニットに特定のコードを送って問題を発生させるという。
オープンソースのLinux OSも今年に入ってからは、欠陥が見つかったり、攻撃の的となったりするようになっている。開発中のオープンソースコードの管理によく利用されるCVS(Concurrent Versions System)というアプリケーションにも、複数の欠陥が見つかった。また3月と4月には、多くの大学の高性能コンピュータセンターにあるLinuxやSolarisのシステムが、オンライン攻撃者の標的となった。
さらに、多くのLinuxのディストリビューションがインターネット上のコミュニケーションの安全性確保のために利用するOpenSSLというソフトウェアにも、複数の欠陥が発見された。
14日には、Red HatのFedoraディストリビューションの開発に携わるスタッフが、この最新の問題を解決するために、Fedora Core 2のアップデート版を公開した。近々公開予定のLinuxカーネル2.6.7-RCでは、すでにこのカーネルパッチを適用済みだ。
その他のLinuxディストリビューションでも、今週中に修正パッチが出される予定。
Linux 2.6カーネルの管理者Andrew Mortonは、48時間以内に修正パッチを出すと約束しており、さらに今回の欠陥はそれほど深刻なものではないと述べた。
「ローカルユーザーのマシンが動かなくなるバグは珍しくないし、ローカルユーザーがなんらかの原因、例えばメモリを使いきってしまい、マシンをダウンさせる可能性は常にある」
Mortonは、欠陥を発見したプログラマらが、それを悪用するコードをリリースするまで、カーネルチームに何の連絡も寄越さなかったと述べ、これはセキュリティの世界ではあるまじき行為だと語った。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」