Linux Daily Topics

2012年1月27日 カーネルコードに脆弱性! Linusみずからパッチを投稿するも…

この記事を読むのに必要な時間:およそ 0.5 分

1月17日,Linus Torvalds氏はgit.kernel.orgに自らセキュリティパッチを投稿した。Linux 3.3の開発に忙しいはずのLinusがわざわざセキュリティパッチ? と疑問に思ったが,どうも今回発見された脆弱性は,いつもよりちょっと影響が大きいようだ。

Linusの投稿したパッチ (git.kernel.org)

Linusの投稿によれば,この「CVE-2012-0056」と呼ばれる脆弱性はメモリハンドリングのパーミッションチェックに関するもので,放置しておくと攻撃者にルートファイルのアクセス制限を奪われる可能性がある。影響を受けるのはバージョン2.6.39以上のカーネルで,最新のメジャーディストロがこれを放置すれば危険な状態に陥ってしまう。この脆弱性はJüri Aedla氏によって報告された。

当然ながらディストロベンダはLinusが書いたパッチを早急に適用しなくてはならなかった……はずである。ところがまるで示し合わせたかのように,Red HatもCanonicalもすぐには動かなかった。ほんのちょっとだけ,関係者が油断したそのスキをつき,攻撃実証コード(PoC)がネット上に出回ってしまったのである。

現在はUbuntuもRed Hatも対応パッチをリリースしており,他のディストロも対応を進めているが,有名なハッカーであるJason DonfeldがCVE-2012-0056をベースにした「Mempodipper」という攻撃コードを公開しており,対応バージョンを利用している場合は早急なパッチの適用が望まれる。また同時に,こういった重要な脆弱性が発見された場合の対応をASAPで行うには,開発チームとベンダはどう連携していけばよいのか,今後の課題となりそうである。

著者プロフィール

階戸アキラ(かいとあきら)

起きてからまず海外ニュースサイトのハシゴをしないと1日を始められない海外ニュースウォッチャー。英語は英検準一級の資格を持ち,日本人と話すより英語圏の人のほうがウマが合う。

コメント

コメントの記入