2004年02月20日(金) 09時00分

Linuxカーネルに3つの脆弱性--一般ユーザーがフル権限を手に入れる恐れあり（CNET Japan）

　Linuxオペレーティングシステム（OS）に3つのセキュリティ脆弱性が見つかった。これらを合わせて悪用すると、一般ユーザーでもLinuxサーバやワークステーションのルート権限を手に入れてしまえる可能性があると、セキュリティ研究者らが警告している。

　3つの脆弱性のうち、2つはLinuxカーネル（OSの中核部分）のメモリ管理機能に存在する。ポーランドのセキュリティ会社、 iSEC Security Research が18日（米国時間）にリリースした勧告によると、現行のすべてのLinuxがこれらの脆弱性の影響を受けるという。3つ目の脆弱性は、ATI Technologiesの「Rage 128」ビデオカードをサポートしているカーネルモジュールに影響する。

　Linuxは共有サーバで使用されることが多いため、一般ユーザーがコンピュータへのアクセス権を拡大してしまえるようなセキュリティホールは深刻だ、とセキュリティソフトウェア会社Symantecのシニア・エンジニアリングディレクター、Alfred Hugerは述べている。しかし、部外者がコンピュータに侵入できるような欠陥ほどの深刻性はないとHugerは言う。

　「攻撃者がマシンへのアクセス権を入手できるとしたら、結局ルート権限までも手に入れられるはずだろう」（Huger）。ルートユーザーとは、LinuxやUnixでコンピュータの完全な制御権を持つユーザーを指す標準的な呼び名だ。

　たとえば、最近発表されたWindowsの欠陥は、Windows OSが稼動するすべてのマシンで、攻撃者が別のコンピュータからコードを実行できるというもので、今回のLinuxの脆弱性よりもより深刻だ。この欠陥を悪用すれば、インターネットに接続している脆弱なコンピュータにワームを広めることも可能になる。これに対してLinuxカーネルのセキュリティホールは、ある1台のコンピュータに侵入しようとする攻撃者に悪用されるものだ。

　Linux Kernel Projectはカーネル2.4シリーズの新バージョン、2.4.25をリリースし、この脆弱性を修正した。同プロジェクトは1月にも、iSECが発見した別の脆弱性を修正するため、2.4.24カーネルをリリースしており、脆弱性の修正パッチとしてのアップデートリリースは、今回で今年2度目となる。

　昨年9月には、攻撃者が開発者のコンピュータに侵入して、LinuxのDebianディストリビューション開発用の複数の主要サーバのアクセス権を拡張できてしまうという、カーネルの別の脆弱性も見つかっている。

　独自のLinuxバージョンをパッケージ化しているLinuxディストリビュータ各社や各プロジェクトは、急いで欠陥修正のためのアップデートをリリースした。Red HatやNovellのSuSE Linux、DebianなどのLinuxディストリビューションでは、19日午前までに修正パッチがリリースされた。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

関連記事
Linux2.4カーネルのアップグレード版公開--セキュリティ関連の欠陥を修正 - 2004/01/06 12:14
多発するオープンソースへのセキュリティ攻撃 - 2003/12/10 11:26
Debianサーバ攻撃--未知の脆弱性を突かれたか？ - 2003/12/01 10:47
Linuxカーネルデータベースに侵入者--コードの改ざんには失敗 - 2003/11/07 10:48


　■CNET Japanニューズレター（登録無料）
　 国内外のテクノロジー・ビジネスに関する新着情報を毎朝お届けするメールマガジンです。
【毎月100名様にギフト券が当たるキャンペーン実施中】

[CNET Japan]
http://japan.cnet.com/ （CNET Japan）

http://headlines.yahoo.co.jp/hl?a=20040220-00000001-cnet-sci