Linuxカーネルにクラッシュ引き起こす脆弱性

Linuxカーネルの脆弱性が原因で、x86およびx86-64アーキテクチャ対応版の大半が、20行のCプログラムでクラッシュさせられる可能性がある。Linuxカーネル最新版の2.6.7ではこの問題を修正、15日にリリースされる見通しだ。(IDG)

» 2004年06月16日 08時43分 公開
[IDG Japan]
IDG

 Linuxカーネルの脆弱性が原因で、カーネル2.4と2.6を使ったx86およびx86-64アーキテクチャ対応版の大半が、20行のCプログラムでクラッシュさせられる可能性があると、セキュリティ研究者が指摘している。

 この問題は、オイヴィン・サザー氏がスティアン・スケルスタッド氏とともに発見した。サザー氏によれば、誰でもLinuxマシン上で普通のユーザーアカウントからサーバ全体をクラッシュさせることができてしまい、管理者権限でアクセスする必要はないという。

 「これを悪用してLinuxシステムをクラッシュさせるには、表面的なアクセスか、プログラム(例えばcgi-binやFTP)のアップロードと実行が必要だ。これを実際に悪用して、管理が手薄な複数のプロバイダーのサーバをダウンさせたとの報告が寄せられている」。サザー氏は6月11日のアドバイザリーでこう記している。

 アドバイザリーの公表に合わせ、Linux開発者はkernel.orgでカーネルのパッチをリリース。Red HatのFedora Project、Gentoo Linuxといった大手Linuxベンダーも、それぞれ修正パッチの提供を始めている。

 リーナス・トーバルズ氏によれば、Linuxカーネル最新版の2.6.7ではこの問題を修正。このバージョンは15日にリリースされる見通しだ。

 開発者らによれば、脆弱性はカーネルが浮動小数点の例外を処理する手法に存在する。深刻な問題ではあるが、有効なユーザーアカウントを持った人物にしか悪用できないこと、および攻撃者がシステムを乗っ取ることはできないという点で、リスクは限定されるという。

Copyright(C) IDG Japan, Inc. All Rights Reserved.

注目のテーマ