セキュリティホールに立ち向かうLinux各社

[IDG Japan]

　Linuxベンダー各社は、ネットワーキングコンポーネントに関する2件の重大なセキュリティバグのフィックスをリリースし始めた。これらのバグは、サービス停止（DoS）攻撃や、攻撃者によるシステム乗っ取りを可能にするものだ。

　これらの問題は、Internet Systems Consortium（ISC）のDynamic Host Configuration Protocol（DHCP）3に関するもの（6月23日の記事参照）。DHCP 3は、ネットワーク中に構成情報を転送するツールとして、多くのLinux・UNIXディストリビューションとともに提供されている。

　研究者がDHCP 3で発見したこの2件の脆弱性により、悪意を持ったユーザーがDHCPデーモンを走らせているシステムをクラッシュさせ、あるいはこのデーモンプロセスの特権（通常はルート権限）を利用して、コードを実行できるようになる恐れがある。

　これはつまり、多くのLinux・UNIXシステムが少なくともDoS攻撃、もしかしたらもっと深刻な脅威にさらされやすくなるということだと研究者は指摘している。だがセキュリティ企業Secuniaは、ほとんどの場合、これらのバグを悪用できるのはローカルネットワークのユーザーだけだろうと述べている。

　この脆弱性の影響を受けると考えられているのは、DHCP 3の2つのバージョン、具体的にはバージョン3.0.1のリリース候補（rc）第12版と第13版だ。以前のバージョンには問題のコードは含まれておらず、rc14ではこの問題は修正されていると米国土安全保障省の研究者らは話している。

　同省のUS-CERTの研究者ジェイソン・ラフェール氏はアドバイザリの中で次のように述べている。「すべてのスナップショット、β版、リリース候補を含むISC DHCP 3の全バージョンに脆弱性のあるコードが含まれている。しかしrc12とrc13以外のバージョンは、クライアントが提供する最後のhostnameオプションがほとんど破棄されているため、影響は受けないと考えられる」

　US-CERTはこの脆弱性の動向をここで追跡している。

　2件の脆弱性はいずれも、バッファオーバーフローに関するもの。1つ目は、長い行を格納する方法に関連し、あらゆるOS上で悪用され得る。2つ目はvsnprintf()関数に関したもので、AIX、HP-UX、Linuxなど影響を受けるOSは比較的限られるとUS-CERTのアドバイザリには記されている。SUSE、MandrakeSoftなどのLinuxベンダーは、自社ディストリビューションに含まれるDHCP 3を修正するパッチをリリース済みだ。

　DHCPのセキュリティ問題は今に始まったことではない。2003年1月には、Red HatとSUSEのLinuxディストリビューションに含まれていたISC DHCP 3で、リモートユーザーによるシステム乗っ取りを可能にする脆弱性が発見された（2003年1月17日の記事参照）。昨年12月にはApple Computerが、Mac OS XのDHCP実装で見つかった、リモート・ローカルユーザーによるフルアクセスを許すバグを修正した（12月24日の記事参照）。

　Linuxの人気が高まり、市場シェアが拡大するに伴い、セキュリティ研究者や攻撃者予備軍は、同OSの基盤コードをますますつぶさに調べるようになっており、その結果として必然的に、問題が明るみに出るケースが増えていると業界観測筋は語る。Microsoftはこの事実を利用して、オープンソースベンダーのセキュリティ対策を悪く見せようとしている。物議を醸しているForrester Researchの「days of risk」調査などが、この取り組みを後押ししている。このForresterの調査では、Linuxベンダー各社はMicrosoftよりもパッチをリリースするまでの時間が長いと結論付けている。この結論にはLinux各社が熱心に反論している（4月8日の記事参照）。

　先週にはLinuxカーネルで、20行のCプログラムでシステムをクラッシュさせられる脆弱性が発見された（4月8日の記事参照）。この脆弱性はカーネル2.4と2.6を採用しているx86、x86-64アーキテクチャ向けディストリビューションのほとんどに影響するとセキュリティ研究者は警告している。

　最近Linuxベンダーは、共同ソフト開発で広く使われているCVSの深刻な脆弱性のパッチ発行を余儀なくされた。e-mattersが発見したこの脆弱性は、開発コードへの不正アクセスを許す恐れがあるものだった。これによりユーザーは「ヒープオーバーフロー」を利用して、CVSサーバ上で任意のコードを実行できると、e-mattersのチーフセキュリティ・テクノロジーオフィサー、ステファン・エッサー氏は語る。

　このバグの発見を受けて、研究者はCVSのソースコードをもっと詳しく調べることを決め、少なくとも6件の新たな脆弱性を発見した（6月10日の記事参照）。その中には、インターネット経由でのCVS乗っ取りを可能にする脆弱性も含まれる。これらの新たな脆弱性は最近公表され、複数のディストリビューターがフィックスをリリース済みだ。