Linux Daily Topics

2014年5月21日 2009年以降リリースのLinuxカーネルに影響するセキュリティバグ

この記事を読むのに必要な時間:およそ 0.5 分

Linuxカーネルにセキュリティバグが見つかることはままあるが,この4月に見つかったバグは非常に広い範囲のカーネルバージョンに影響があるので注意が必要だ。少し前の話になるが,ここで紹介しておこう。

米MITRE Corporationが提供するソフトウェアの脆弱性情報を集めたデータベース「CVE(Common Vulnerabilities & Exposures)⁠は,2014年4月に発見された情報のひとつとして,Linuxカーネルにおけるメモリコラプションを引き起こす脆弱性を指摘している。CVE-2014-0196とナンバリングされているデータがそれだ。

これによると,2009年にリリースされたLinux 2.6.31から最新のLinux 3.14.3までのカーネルには,ローカルユーザがttyデバイスを通じてメモリコラプションやクラッシュを発生させ,DoS攻撃や管理者権限の取得を可能にするバグが含まれているという。

すでにカーネルメンテナーはこのバグをフィックスしておりUbuntuやDebianなどメジャーなディストリビューションにおいてもパッチ当ての作業は完了している。また,このバグは現状のAndroidやChrome OSなどにも影響を及ぼす可能性も指摘されており,引き続き注意が必要だ。

なお,Red Hatは「このバグはRHEL5以前のバージョンには(カーネルが2.6.31以前なので)無関係,RHEL6以降のバージョンにおいては近い将来修正していく。このフローを実現するにはエクスプロイトされたローカルシステムへのアクセスが必要であり,我々は現在,RHEL6にそうしたエクスプロイトが存在する事実をを認めていない」と,最新のRHEL6においてもこのバグが与える大きな影響はないとしている。

著者プロフィール

階戸アキラ(かいとあきら)

起きてからまず海外ニュースサイトのハシゴをしないと1日を始められない海外ニュースウォッチャー。英語は英検準一級の資格を持ち,日本人と話すより英語圏の人のほうがウマが合う。

バックナンバー

Linux Daily Topics

バックナンバー一覧

コメント

コメントの記入