Linux カーネルに複数の脆弱性

この記事のURLhttp://japan.internet.com/webtech/20040419/12.html

複数の IT セキュリティ会社が、Linux カーネルに脆弱性が存在するとして警告を発した。

iDEFENSE のセキュリティ勧告によれば、脆弱性は『Linux Kernel 2.6.x』『同2.5.x』『同2.4.x』に存在するという。

同脆弱性を悪用すると、「root やカーネルレベルの権限で任意のコード実行を許すおそれがある」と同社は警告している。

iDEFENSE によれば、問題のあるバージョンの Linux カーネルでは、CD 用の『ISO9660』ファイルシステム上にシンボリックリンクが存在する場合、長さをチェックしないため、異常な長さのシンボリックリンクを含む CD を用いると、カーネルメモリのオーバーフローが起きかねないという。

同社はセキュリティ勧告で、「ISO9660 ファイルシステム上のシンボリックリンクは、標準形式を拡張した『Rock Ridge』形式で対応している。悪意をもって作成した ISO9660 ファイルシステムで、ディレクトリの一覧表示を行なったり、異常形式のシンボリックリンク経由でファイルにアクセスすると問題が起きる。多くの Linux ディストリビューションでは、ローカルの一般ユーザーに CD のマウントを許しているため、同種ユーザーにシステムを乗っ取られるおそれがある」と述べている。

加えて Secunia は、情報漏洩と DoS 攻撃につながる2つの脆弱性が、Linux Kernel 2.4.x および 2.6.x に存在すると警告を出した。情報漏洩は、ファイルシステム『ext3』『XFS』『JFS』のコードに問題があり、悪意のある攻撃者が暗号鍵のような重要データを持ち出し得るというもの。

もう1件は、サウンドカード『SoundBlaster16』用の OSS ドライバに問題があり、出力バイト数に奇数を指定するとフリーズするため、DoS 攻撃を招くおそれがあるという内容だ。

以上の問題を修正した Linux カーネル、バージョン『2.4.26』と『2.6.6-rc1』は、カーネルアーカイブサイト『kernel.org』で配布している。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。