Microsoftなど、年末に臨時アップデートを公開 「ハッシュ衝突」の脆弱性に対処

プログラミング言語の実装問題に起因するサービス妨害（DoS）状態誘発の脆弱性が昨年末に発覚した。Microsoftなど複数ベンダーの製品が影響を受ける可能性があるという。

[鈴木聖子，ITmedia]

　米Microsoftなどの大手を含む複数ベンダーの製品に、プログラミング言語の実装問題に起因するサービス妨害（DoS）状態誘発の脆弱性があることが2011年末に発覚した。Microsoftなどは臨時アップデートを公開してこの問題に対処している。

　米セキュリティ機関US-CERTのセキュリティ情報によると、脆弱性はプログラミング言語の実装問題に起因するハッシュ衝突によって発生する。この問題を突かれた場合、アプリケーションがDoS状態に陥る可能性があり、特にWebアプリケーションサーバでは細工を施したPOSTフォームデータによってDoSを誘発される恐れがある。

　US-CERTではこの問題の影響を受ける可能性のあるベンダーとして、Adobe、Apache Tomcat、IBM、Microsoft、Oracle、Ruby、PHP Groupを挙げている。

　このうちMicrosoftはアプリケーション開発環境「.NET Framework」の臨時アップデートを12月30日にリリースし、ハッシュテーブルの衝突に起因する脆弱性を含め、計4件の脆弱性に対処した。特に深刻な脆弱性では、攻撃者が細工を施したWebリクエストを標的とするサイトに送り付けることによって特権を昇格できてしまう恐れがあるとされ、最大深刻度は最も高い「緊急」となっている。

　また、プログラミング言語Rubyのセキュリティチームはこの問題に対処して、1.8.7版のRubyのアップデートとなる「パッチレベル357」を公開した。一方、最新版のRuby 1.9はこの脆弱性の影響を受けないとされる。