Linux Daily Topics

2014年5月21日2009年以降リリースのLinuxカーネルに影響するセキュリティバグ

Linuxカーネルにセキュリティバグが見つかることはままあるが、この4月に見つかったバグは非常に広い範囲のカーネルバージョンに影響があるので注意が必要だ。少し前の話になるが、ここで紹介しておこう。

米MITRE Corporationが提供するソフトウェアの脆弱性情報を集めたデータベース「CVE(Common Vulnerabilities & Exposures⁠⁠」は、2014年4月に発見された情報のひとつとして、Linuxカーネルにおけるメモリコラプションを引き起こす脆弱性を指摘している。CVE-2014-0196とナンバリングされているデータがそれだ。

これによると、2009年にリリースされたLinux 2.6.31から最新のLinux 3.14.3までのカーネルには、ローカルユーザがttyデバイスを通じてメモリコラプションやクラッシュを発生させ、DoS攻撃や管理者権限の取得を可能にするバグが含まれているという。

すでにカーネルメンテナーはこのバグをフィックスしておりUbuntuやDebianなどメジャーなディストリビューションにおいてもパッチ当ての作業は完了している。また、このバグは現状のAndroidやChrome OSなどにも影響を及ぼす可能性も指摘されており、引き続き注意が必要だ。

なお、Red Hatは「このバグはRHEL5以前のバージョンには(カーネルが2.6.31以前なので)無関係、RHEL6以降のバージョンにおいては近い将来修正していく。このフローを実現するにはエクスプロイトされたローカルシステムへのアクセスが必要であり、我々は現在、RHEL6にそうしたエクスプロイトが存在する事実をを認めていない」と、最新のRHEL6においてもこのバグが与える大きな影響はないとしている。

おすすめ記事

記事・ニュース一覧