Perlに脆弱性？ 懸念高まる

Dyad Securityは、オープンソースのスクリプト言語「Perl」に深刻な脆弱性が存在する可能性があるとするアドバイザリを公開した。（IDG）

[IDG Japan]

　Dyad Securityは11月30日、オープンソースのスクリプト言語「Perl」に深刻な脆弱性が存在する可能性があるとするアドバイザリを投稿した。一方で複数のセキュリティ専門家は、この脆弱性の存在に疑問を投げかけている。

　Dyadの警告によると、この脆弱性を悪用されるとDoS攻撃が引き起こされる恐れがある。Dyadはさらに、攻撃者にサーバへのアクセスを可能にし、悪意あるアプリケーションを立ち上げることも可能だとしている。

　複数の他のセキュリティ企業の研究者がこの脆弱性についてテストを行ったが、確認できたのはDoS攻撃の可能性だけだった。

　SecuniaのCTOを務めるトーマス・クリステンセン氏と彼のチームは、さまざまなバージョンのPerlで脆弱性のテストを行った。しかし、悪意あるコードの実行を可能にする脆弱性は発見できなかったという。

　「それ以上の悪用が可能であるという可能性は否定していない。この問題が本当なのかどうかを見極めるには、さらなる詳細が必要だ」（クリステンセン氏）

　「我々自身が適切なバージョンをテストしたのかどうか、判断が困難だ」（クリステンセン氏）。Dyadによるオリジナルのアドバイザリでは、脆弱性を含むPerlのバージョンが明示されていなかった。しかもクリステンセン氏によると、この脆弱性は、特定の方法でPerlを含んだ特定のアプリケーションでのみ生じるという。

　クリステンセン氏はまた、著名なセキュリティ専門家でありDigital Defenseの創設者の一人でもあるHD Moore氏による、Full-Disclosureメーリングリストへの投稿の件も指摘した。Moore氏もまた、とあるバージョンのPerlで脆弱性をテストしたが、悪用は不可能だったという。

　クリステンセン氏によると、DoSの脆弱性の疑いがあるアプリケーションは2つあり、悪用を避けるため、それぞれアプリケーションからのPerlの利用法を変更したという。「われわれが知る限り、今のところPerlそのもののアップデートはない」（同氏）

　そのアプリケーションとは、OSの設定を行うためのWebベース管理ツール「Webmin」と、そのうち必要最低限のものだけをまとめた「Usermin」だ。