【Linux Tutorial】Linux カーネルに脆弱性のリスク（2）

この記事のURLhttp://japan.internet.com/webtech/20100903/7.html

パッチの準備を急ぐ各 Linux ディストリビューション

しかし、Linux ユーザーの大半は Torvalds 氏のカーネルブランチから Linux カーネルを入手するわけではない。代わりに、各 Linux ディストリビューションがオリジナルのカーネルをベースにした各社独自バージョンの Linux カーネルをパッケージングしている。

たとえば、Red Hat でもまだ、この脆弱性の影響を受けるすべての Linux ディストリビューションに、パッチを適用しているわけではない。

Red Hat のセキュリティ対策ディレクタ、Mark Cox 氏は InternetNews.com に対し、「Fedora 12/13 用の最新カーネルパッケージは、もうすぐアップデート用テストレポジトリから出てきて、テスト後に安定版としてリリースされるだろう。Red Hat Enterprise Linux 用のパッケージの準備が進んでおり、完成すれば、すぐにリリースされるだろう」と語っている。

Red Hat の Cox 氏は、「今回のような特別なケースの場合、カーネルのセキュリティチームと各 Linux ベンダーのセキュリティチームとの間で、アップストリームパッチが事前に議論されていた。適切なパッチになるまで何度も作り直され、最終バージョンの完成は8月13日にずれ込み、その後も数日間にわたって回帰修正が行われた」と語っている。

Cox 氏はさらに、Red Hat のプロセスでは、主流カーネルから Red Hat Enterprise Linux （RHEL）の各種バージョンのカーネルへと、パッチの旧バージョンへの移植も行われたことも加えた。同氏は加えて、 Red Hat が自社の RHEL カーネルに対して、本格的なテストを実施していること、そしてこのプロセスが数日中には終わらないことを指摘した。

一方、Novell は InternetNews.com に対して出した声明のなかで、2004年以降に Novell が提供したカーネルでは、大抵のセキュリティホールは修正されており、SUSE Linux Enterprise 9、SUSE Linux Enterprise 11、および openSUSE は影響を受けていないと述べている。

しかし Novell は、SUSE Linux Enterprise 10 Service Pack 3はまだこの脆弱性への対処ができておらず、この問題を解決するためのパッチの準備が現在進められている、と指摘している。

Ubuntu Linux には、商用版のスポンサーである Canonical を通じてコメントを求めたが、入稿時までに広報担当者らから回答を得ることはできなかった。

この脆弱性は何年も前から Linux にあったものだが、Novell も Red Hat もユーザーが危険にさらされたことは一切ないと考えている。

「報告者は、マシンのローカルユーザーが自分の権限を root にまで高めることができることを非公式で再現して見せた。しかし、この問題が悪用された報告はこれまで一切ない」 と Cox 氏は語っている。

« 戻る頑固なカーネルの弱点

目次 1 頑固なカーネルの弱点 2 パッチの準備を急ぐ各 Linux ディストリビューション

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。