多数の「Linux」ディストリビューションに影響する脆弱性–パッチ適用を

今回は「多数の「Linux」ディストリビューションに影響する脆弱性–パッチ適用を」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Qualysの脅威調査部門(TRU)は米国時間10月3日、GNU Cライブラリ(glibc)でセキュリティーホールを発見したと報告した。この脆弱性(CVE-2023-4911)は「Looney Tunables」と呼ばれ、深刻度をスコアで表す「脆弱性評価システム(CVSS)」では7.8、「重要」(Important)と評価されている。

 最もリスクが高い「深刻」(critical)ではないものの、このglibcの脆弱性はバッファオーバーフローであるため、厄介な問題だ。さらに、多数の「Linux」ディストリビューションに含まれている。

 TRU の研究者らによると、「(ローカル権限を昇格して完全なroot権限を付与する)この脆弱性を、『Fedora』37と38、『Ubuntu』22.04と23.04、『Debian』12と13のデフォルトインストール」で、実際に悪用できたという。また、他のディストリビューションも攻撃に脆弱である可能性が高いという。ただし、glibcを使用しない「Alpine Linux」は影響を受けない。

 研究者らは、このエクスプロイトの手法は、「LinuxにデフォルトでインストールされているSUID-rootプログラムのほぼすべてに対して有効」だと指摘している。

 この脆弱性は、2021年4月にリリースされたglibc 2.34に起因している。問題は、glibcのld.soダイナミックローダーのバッファオーバーフローの弱点にあるが、これはLinuxシステムでプログラムの準備と実行を担う重要なコンポーネントだ。この脆弱性が、GLIBC_TUNABLESの環境変数を処理する際にトリガーされるため、システムの完全性とセキュリティーにとって大きな脅威となっている。

 この問題は、どのくらい深刻なのだろうか。TRUの製品マネジャーであるSaeed Abbasi氏は、次のように説明している。「この環境変数は、glibcと連携するアプリケーションの微調整や最適化を行うためのもので、開発者やシステム管理者にとって不可欠なツールだ。そのため、誤用や悪用はシステムの性能、信頼性、セキュリティーに広範な影響を与える可能性がある」

 このためユーザーは、直ちにパッチを適用することが推奨されている。

 Red Hat、Ubuntu、Debian、Gentooはすでにアップデートをリリースしている。さらにアップストリームのglibcコードにも、修正パッチが施された。

 Red Hatはパッチを適用できないユーザー向けに、問題を軽減するためのスクリプトを提供している。これにより、GLIBC_TUNABLESが起動したsetuidプログラムをすべて終了するように設定できる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
NTTデータグループ、海外拠点での不正アクセスを公表
IT関連
2024-07-05 19:44
英国気象庁とマイクロソフト、スーパーコンピューター構築で連携–高度な気象予測を実現へ
IT関連
2021-04-24 14:53
マネーフォワード、インボイス制度対応の請求書受領システムを提供
IT関連
2022-08-26 09:40
「バイオハザード」フルCGアニメ、監督に「海猿」「MOZU」の羽住英一郎さん 7月からNetflixで配信
くらテク
2021-04-17 03:55
OpenAI、新しい動画生成AIモデル「Sora Turbo」を有料ユーザーに公開
IT関連
2024-12-11 08:39
フリーランスITエンジニアの案件数が多い言語、1位Java、2位JavaScript、3位PHPなど。Go言語は人材不足。レバテックフリーランス調べ
プログラミング言語
2023-02-17 17:30
SBIホールディングス、保険商品比較サイトに可観測性プラットフォームを導入
IT関連
2022-11-11 10:47
JPCERT/CC、インシデント被害組織や1次対応組織の相談窓口を開設
IT関連
2024-03-23 18:57
マイクロソフトがAIをエッジで動かすハードウェアとソフトウェアの新プラットフォーム「Azure Percept」を発表
ハードウェア
2021-03-04 20:25
アップル、セキュリティ情報サイトを開設
IT関連
2022-10-29 12:54
マイクロソフト、サイバーセキュリティの「Microsoft Entra」を解説
IT関連
2022-07-01 07:18
第3回:情報セキュリティ担当者が知るべき、サイバーエクスポージャー管理のメリット
IT関連
2023-06-21 08:17
文部科学省、AzureでIT基盤をフルクラウド化
IT関連
2022-03-24 00:28
AWS、Aurora MySQLとRedshiftをほぼリアルタイムに同期する「Amazon Aurora MySQL zero-ETL integration with Amazon Redshift」正式版に。追加料金なしで利用可能
AWS
2023-11-13 07:26