ニュース
Perlに脆弱性? 懸念高まる
Dyad Securityは、オープンソースのスクリプト言語「Perl」に深刻な脆弱性が存在する可能性があるとするアドバイザリを公開した。(IDG)
Dyad Securityは11月30日、オープンソースのスクリプト言語「Perl」に深刻な脆弱性が存在する可能性があるとするアドバイザリを投稿した。一方で複数のセキュリティ専門家は、この脆弱性の存在に疑問を投げかけている。
Dyadの警告によると、この脆弱性を悪用されるとDoS攻撃が引き起こされる恐れがある。Dyadはさらに、攻撃者にサーバへのアクセスを可能にし、悪意あるアプリケーションを立ち上げることも可能だとしている。
複数の他のセキュリティ企業の研究者がこの脆弱性についてテストを行ったが、確認できたのはDoS攻撃の可能性だけだった。
SecuniaのCTOを務めるトーマス・クリステンセン氏と彼のチームは、さまざまなバージョンのPerlで脆弱性のテストを行った。しかし、悪意あるコードの実行を可能にする脆弱性は発見できなかったという。
「それ以上の悪用が可能であるという可能性は否定していない。この問題が本当なのかどうかを見極めるには、さらなる詳細が必要だ」(クリステンセン氏)
「我々自身が適切なバージョンをテストしたのかどうか、判断が困難だ」(クリステンセン氏)。Dyadによるオリジナルのアドバイザリでは、脆弱性を含むPerlのバージョンが明示されていなかった。しかもクリステンセン氏によると、この脆弱性は、特定の方法でPerlを含んだ特定のアプリケーションでのみ生じるという。
クリステンセン氏はまた、著名なセキュリティ専門家でありDigital Defenseの創設者の一人でもあるHD Moore氏による、Full-Disclosureメーリングリストへの投稿の件も指摘した。Moore氏もまた、とあるバージョンのPerlで脆弱性をテストしたが、悪用は不可能だったという。
クリステンセン氏によると、DoSの脆弱性の疑いがあるアプリケーションは2つあり、悪用を避けるため、それぞれアプリケーションからのPerlの利用法を変更したという。「われわれが知る限り、今のところPerlそのもののアップデートはない」(同氏)
そのアプリケーションとは、OSの設定を行うためのWebベース管理ツール「Webmin」と、そのうち必要最低限のものだけをまとめた「Usermin」だ。
[IDG Japan]
Copyright(C) IDG Japan, Inc. All Rights Reserved.
「ノートPCの持ち出し禁止」だけで大丈夫?
トップエンジニア村上氏と上野氏が競演!
技術者不在でも「すぐに使える」
業務でオープンソースは不安、は過去のこと
「どこでもオフィス」で業務効率アップ!![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
1日の処理を1秒にも――MySQLの達人が語る
「Windows 7搭載PC」で何が変わったのか?
IT基盤をアウトソースした中堅中小企業たち
@IT「Windows 7」 特設サイトオープン!
「設備」「ネットワーク」「マネジメント」
かつての日本の成功体験はもう通じない
MONOist執筆陣×PTC対談企画 好評の第2弾
IBM スマートなモノづくり PLMフォーラム
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター