多数の「Linux」ディストリビューションに影響する脆弱性–パッチ適用を

今回は「多数の「Linux」ディストリビューションに影響する脆弱性–パッチ適用を」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Qualysの脅威調査部門（TRU）は米国時間10月3日、GNU Cライブラリ（glibc）でセキュリティーホールを発見したと報告した。この脆弱性（CVE-2023-4911）は「Looney Tunables」と呼ばれ、深刻度をスコアで表す「脆弱性評価システム（CVSS）」では7.8、「重要」（Important）と評価されている。

　最もリスクが高い「深刻」（critical）ではないものの、このglibcの脆弱性はバッファオーバーフローであるため、厄介な問題だ。さらに、多数の「Linux」ディストリビューションに含まれている。

　TRU の研究者らによると、「（ローカル権限を昇格して完全なroot権限を付与する）この脆弱性を、『Fedora』37と38、『Ubuntu』22.04と23.04、『Debian』12と13のデフォルトインストール」で、実際に悪用できたという。また、他のディストリビューションも攻撃に脆弱である可能性が高いという。ただし、glibcを使用しない「Alpine Linux」は影響を受けない。

　研究者らは、このエクスプロイトの手法は、「LinuxにデフォルトでインストールされているSUID-rootプログラムのほぼすべてに対して有効」だと指摘している。

　この脆弱性は、2021年4月にリリースされたglibc 2.34に起因している。問題は、glibcのld.soダイナミックローダーのバッファオーバーフローの弱点にあるが、これはLinuxシステムでプログラムの準備と実行を担う重要なコンポーネントだ。この脆弱性が、GLIBC_TUNABLESの環境変数を処理する際にトリガーされるため、システムの完全性とセキュリティーにとって大きな脅威となっている。

　この問題は、どのくらい深刻なのだろうか。TRUの製品マネジャーであるSaeed Abbasi氏は、次のように説明している。「この環境変数は、glibcと連携するアプリケーションの微調整や最適化を行うためのもので、開発者やシステム管理者にとって不可欠なツールだ。そのため、誤用や悪用はシステムの性能、信頼性、セキュリティーに広範な影響を与える可能性がある」

　このためユーザーは、直ちにパッチを適用することが推奨されている。

　Red Hat、Ubuntu、Debian、Gentooはすでにアップデートをリリースしている。さらにアップストリームのglibcコードにも、修正パッチが施された。

　Red Hatはパッチを適用できないユーザー向けに、問題を軽減するためのスクリプトを提供している。これにより、GLIBC_TUNABLESが起動したsetuidプログラムをすべて終了するように設定できる。