ニュース
Dnsmasqに7件の脆弱性、AndroidやLinuxなど広範に影響の恐れ パッチ適用を
Androidやデスクトップ向けLinuxディストリビューション、ホームルータ、IoTデバイスなどの幅広いシステムに使われている「Dnsmasq」に脆弱性が見つかり、パッチが公開された。
米Googleは10月2日、オープンソースのDNSソフトウェアパッケージ「Dnsmasq」に7件の脆弱性が見つかったと発表した。AndroidやLinuxディストリビューションなどに広範な影響が指摘されている。
DnsmasqはDNSやDHCPサーバを簡単に構築できるオープンソースのソフトウェアパッケージで、GoogleによればAndroidやデスクトップ向けLinuxディストリビューション(Ubuntuなど)、ホームルータ、IoTデバイスなどの幅広いシステムに使われている。
Googleでは今回、Dnsmasqに7件の脆弱性を発見して影響や悪用可能性を調べ、それぞれについてコンセプト実証コードを作成。Dnsmasqの管理人と協力してパッチを公開した。7件のうち3件については、リモートでコードを実行される恐れがあり、1件は情報流出、3件はサービス妨害(DoS)攻撃に利用される可能性があるという。
発見された7件の脆弱性のうち3件については、リモートでコードを実行される恐れがあり、1件は情報流出、3件はサービス妨害(DoS)攻撃に利用される可能性がある(出典:Google Security Blog)
Dnsmasqを最新バージョンの2.78に更新すれば、今回見つかった脆弱性を突く攻撃を防止できるとGoogleは解説している。Androidでは、2日に公開された月例パッチの「2017-10-01」でDnsmasqの脆弱性に対応。Kubernetesはバージョン1.5.8、1.6.11、1.7.7、1.8.0が公開され、影響を受ける他のGoogleサービスも更新されたとしている。
関連記事
- Androidの月例セキュリティ情報公開、Dnsmasqの脆弱性などに対処
10月の月例パッチは「2017-10-01」「2017-10-05」の2本が公開された。端末メーカーなどのパートナー向けには少なくとも1カ月前に通知されている。 - 「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響
【Update】脆弱性が指摘された機能は大半のUNIXベースシステムでIPアドレスの解決に使われており、影響は広範に及ぶ。 - Linuxなどにローカル権限昇格の可能性、管理者権限取得に利用される恐れも
「Stack Clash」と命名された脆弱(ぜいじゃく)性は、悪用されればメモリ破損を誘発され、任意のコードを実行される恐れもあるという。 - Ubuntu、MicrosoftのWindowsストアに降臨
Microsoftが、「Build 2017」で予告した「Ubuntu」の「Windowsストア」版を公開した。仮想マシンなどを使わずにWindowsでUbuntuを使える。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.