Red Hat、Novell、およびMandrakesoftのLinuxベンダー各社は米国時間12日、DoS(サービス拒否)攻撃を可能にする欠陥や、バッファオーバーフローなどの複数の脆弱性に対処するパッチをリリースした。
リリースされたアップデートのうち5つは、セキュリティ情報ベンダーSecuniaによって13日に「極めて深刻」に分類されているもの。Red Hatは3つ、Novell傘下のSuSEは1つ、そしてMandrakesoftも1つのアップデートをリリースした。
SuSEのアップデートは、特別に作成したAcrobatドキュメントを使うことで悪質なコードがローカルなDoS攻撃を仕掛けられる脆弱性などに対応する。この脆弱性はSuSE Linuxベースの大半の製品に影響する。
SuSEによると、ネットワークトラフィックのルーティングに利用されるLinuxシステムコンポーネントにも脆弱性があり、netfilterのデータストリームに誤情報を挿入することで、悪意のある者がローカルでのDoS攻撃を仕掛けられるようになるという。
一方、Red Hatは自社のDesktop、Enterprise、およびAdvanced-Workstationの各ソフトウェア向けにアップデートパッケージを公開した。
アップデートされたlibtiffパッケージは、各種の整数オーバーフローに関連する脆弱性に対応するもの。この脆弱性を利用すると、攻撃者がユーザーをだまして悪質なTIFFフォーマットの画像ファイルを開かせ、libtiff関連アプリケーションをクラッシュさせたり、任意のコードを用いてコンピュータに危害を加えられるようになる。
Red Hatはまた、バッファオーバーフローにつながる脆弱性に対処すべく、Xpdfパッケージのアップデートもリリースした。XpdfはPDF(Portable Document Format)ドキュメント閲覧用のスタンドアロンアプリケーションで、多くのLinuxプログラムで利用されている。Red Hatの最新情報によると、この脆弱性があると、攻撃者がXpdfをクラッシュさせ、場合によっては、オープン時に任意のコードを実行できるPDFファイルが作成できてしまうという。
Red Hatはさらに、同社のXpmライブラリにある欠陥を解消するパッチも複数リリースした。XPixMap(XPM)フォーマットは、移植の簡単なファイルのなかにカラー画像を保存できるようにするもの。
XPM画像のデコードに利用されるlibXpmライブラリには、スタックオーバーフローの欠陥や、整数オーバーフローの脆弱性が複数見つかっている。このため、攻撃者がアプリケーションをクラッシュさせるようなXPMファイルを作成すると、コンピュータシステムが危険にさらされる可能性がある。
Mandrakesoftも、旧バージョンのGNOMEデスクトップがグラフィックス処理に利用するImlib標準コードセットのアップデートをリリースした。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」