Red Hat、Linuxカーネルの複数の欠陥に対処

[Matt Hines，eWEEK]

　LinuxソフトウェアプロバイダーのRed Hatは、Linuxカーネルに含まれる一連の脆弱性に対処すべく、同社の複数の製品に関するセキュリティアドバイザリを発行した。

　Red Hatでは、Linux OSソフトウェアである「Red Hat Desktop」および「Red Hat Enterprise」のバージョン4.0に含まれる16種類の欠陥を修正するためのカーネルパッケージのアップデート版を配布中だ。

　「これらのセキュリティ問題の影響を防ぐために、Enterprise Linux 4のすべてのユーザーがカーネルをアップグレードする必要がある」と同社は勧告している。Red Hatのセキュリティ対策チームでは、これらのセキュリティ問題のうち10件を「重要」（Important）、6件を「中」（Moderate）の深刻度として分類している。

　Red Hatによると、これらの欠陥が悪用されると、Linuxの基本機能が影響を受ける恐れがあるという。

　Red Hatが報告した深刻な問題の1つが、OSソフトウェアでのIPv6（IP Version 6）のインプリメンテーションの欠陥である。この弱点を持ったOSが動作するマシンに対して、ローカルユーザーがDoS（サービス妨害）攻撃を仕掛けることを可能にするという。

　重要なセキュリティ問題はほかにも、ATM（非同期転送モード）モジュールの欠陥、NFS（Network File System）クライアントのインプリメンテーションの欠陥、特定のマイクロプロセッサではOSの「sysretq」動作が異なる問題などがあり、これらはいずれも、各種のDoS攻撃につながる可能性がある。

　さらに、キーリング、IPルーティング、SCTP（Stream Control Transmission Protocol）ネットフィルタ、仮想メモリおよびスレッディングのインプリメンテーションの欠陥、ならびにOSソフトウェアのデバイスドライバに関連した問題も「重要」として分類されている。これらの欠陥も、DoS攻撃につながる恐れがあるとされている。

　深刻度が「中」とされている問題には、ブリッジのインプリメンテーション、Linux Security Moduleおよびデータ処理コンポーネントの欠陥のほか、OSのファイルシステムのディレクトリトラバーサルの脆弱性などが含まれる。

　最近の調査によると、オープンソースソフトウェアを狙ったウイルスの数は比較的少ないにもかかわらず、以前と比べるとLinuxベースのシステムが攻撃を受けることが多くなっている。

　Evans Dataが2006年4月に発表した報告書によると、同社が調査したLinux開発者のうち約11％が自分のコンピュータにウイルスを見つけたことがあり、その3分の1以上が3種類以上のウイルスが見つかったと答えている。

　この調査は450人のプログラマーを対象として毎年2回実施されているもので、今回の結果は、これまでの調査の中でウイルスに感染したユーザーの割合が最も高かった。

　一方、Kaspersky Labのウイルス専門家らは4月、WindowsとLinuxの両方のシステムへの感染能力を備えたクロスプラットフォーム型ウイルスのコンセプト実証コードを発見した。

原文へのリンク