SunのSolarisに脆弱性、一部はパッチ公開

[ITmedia]

　米Sun Microsystemsは10月2日、Solarisのネームドパイプの脆弱性修正パッチを公開した。これとは別に、Solarisに使われている「X Font Server」の深刻な脆弱性も報告されている。

　Sunのアドバイザリーによると、Solarisのネームドパイプには、ローカル権限のないユーザーが、許可されていないメモリロケーションにアクセスできてしまう問題が存在する。これにより、カーネルのメモリレイアウト上にある重要データを読まれてしまう恐れがある。

　影響を受けるのはSolaris 8/9/10。深刻度は、仏FrSIRTの評価で4段階で最低レベルの「Low Risk」となっている。

　一方、これとは別にセキュリティ企業のiDefense Labsは、X Font Server（XFS）に任意のコード実行が可能になる脆弱性があるとして、情報を公開した。X Font Serverは、ベンダー各社のLinuxディストリビューションなどに含まれているX Window System向けのフォント処理システム。

　iDefenseによると、Solarisの現行バージョンではXFSサービスがデフォルトで有効になっており、この脆弱性をリモートから悪用することができてしまう。一方、現代のLinuxシステムではローカルでしか悪用できないという。

　X.Orgは同日、この問題を修正したXFSバージョン1.0.5をリリースし、併せてバージョン1.0.4のパッチも公開している。

　しかしSolarisのパッチはまだ公開されていない模様で、iDefenseでは回避策として、Solarisでサービスマネージャを使ってXFSがリモートから操作できないようにすることを促している。