米Sun Microsystemsは10月2日、Solarisのネームドパイプの脆弱性修正パッチを公開した。これとは別に、Solarisに使われている「X Font Server」の深刻な脆弱性も報告されている。
Sunのアドバイザリーによると、Solarisのネームドパイプには、ローカル権限のないユーザーが、許可されていないメモリロケーションにアクセスできてしまう問題が存在する。これにより、カーネルのメモリレイアウト上にある重要データを読まれてしまう恐れがある。
影響を受けるのはSolaris 8/9/10。深刻度は、仏FrSIRTの評価で4段階で最低レベルの「Low Risk」となっている。
一方、これとは別にセキュリティ企業のiDefense Labsは、X Font Server(XFS)に任意のコード実行が可能になる脆弱性があるとして、情報を公開した。X Font Serverは、ベンダー各社のLinuxディストリビューションなどに含まれているX Window System向けのフォント処理システム。
iDefenseによると、Solarisの現行バージョンではXFSサービスがデフォルトで有効になっており、この脆弱性をリモートから悪用することができてしまう。一方、現代のLinuxシステムではローカルでしか悪用できないという。
X.Orgは同日、この問題を修正したXFSバージョン1.0.5をリリースし、併せてバージョン1.0.4のパッチも公開している。
しかしSolarisのパッチはまだ公開されていない模様で、iDefenseでは回避策として、Solarisでサービスマネージャを使ってXFSがリモートから操作できないようにすることを促している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR