【Linux Tutorial】Linux カーネルに脆弱性のリスク（2）

パッチの準備を急ぐ各 Linux ディストリビューション

しかし、Linux ユーザーの大半は Torvalds 氏のカーネルブランチから Linux カーネルを入手するわけではない。代わりに、各 Linux ディストリビューションがオリジナルのカーネルをベースにした各社独自バージョンの Linux カーネルをパッケージングしている。

たとえば、Red Hat でもまだ、この脆弱性の影響を受けるすべての Linux ディストリビューションに、パッチを適用しているわけではない。

Red Hat のセキュリティ対策ディレクタ、Mark Cox 氏は InternetNews.com に対し、「Fedora 12/13 用の最新カーネルパッケージは、もうすぐアップデート用テストレポジトリから出てきて、テスト後に安定版としてリリースされるだろう。Red Hat Enterprise Linux 用のパッケージの準備が進んでおり、完成すれば、すぐにリリースされるだろう」と語っている。

Red Hat の Cox 氏は、「今回のような特別なケースの場合、カーネルのセキュリティチームと各 Linux ベンダーのセキュリティチームとの間で、アップストリームパッチが事前に議論されていた。適切なパッチになるまで何度も作り直され、最終バージョンの完成は8月13日にずれ込み、その後も数日間にわたって回帰修正が行われた」と語っている。

Cox 氏はさらに、Red Hat のプロセスでは、主流カーネルから Red Hat Enterprise Linux （RHEL）の各種バージョンのカーネルへと、パッチの旧バージョンへの移植も行われたことも加えた。同氏は加えて、 Red Hat が自社の RHEL カーネルに対して、本格的なテストを実施していること、そしてこのプロセスが数日中には終わらないことを指摘した。

一方、Novell は InternetNews.com に対して出した声明のなかで、2004年以降に Novell が提供したカーネルでは、大抵のセキュリティホールは修正されており、SUSE Linux Enterprise 9、SUSE Linux Enterprise 11、および openSUSE は影響を受けていないと述べている。

しかし Novell は、SUSE Linux Enterprise 10 Service Pack 3はまだこの脆弱性への対処ができておらず、この問題を解決するためのパッチの準備が現在進められている、と指摘している。

Ubuntu Linux には、商用版のスポンサーである Canonical を通じてコメントを求めたが、入稿時までに広報担当者らから回答を得ることはできなかった。

この脆弱性は何年も前から Linux にあったものだが、Novell も Red Hat もユーザーが危険にさらされたことは一切ないと考えている。

「報告者は、マシンのローカルユーザーが自分の権限を root にまで高めることができることを非公式で再現して見せた。しかし、この問題が悪用された報告はこれまで一切ない」 と Cox 氏は語っている。

« 戻る頑固なカーネルの弱点

目次 1 頑固なカーネルの弱点 2 パッチの準備を急ぐ各 Linux ディストリビューション

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール