多数の「Linux」ディストリビューションに影響する脆弱性–パッチ適用を

今回は「多数の「Linux」ディストリビューションに影響する脆弱性–パッチ適用を」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Qualysの脅威調査部門(TRU)は米国時間10月3日、GNU Cライブラリ(glibc)でセキュリティーホールを発見したと報告した。この脆弱性(CVE-2023-4911)は「Looney Tunables」と呼ばれ、深刻度をスコアで表す「脆弱性評価システム(CVSS)」では7.8、「重要」(Important)と評価されている。

 最もリスクが高い「深刻」(critical)ではないものの、このglibcの脆弱性はバッファオーバーフローであるため、厄介な問題だ。さらに、多数の「Linux」ディストリビューションに含まれている。

 TRU の研究者らによると、「(ローカル権限を昇格して完全なroot権限を付与する)この脆弱性を、『Fedora』37と38、『Ubuntu』22.04と23.04、『Debian』12と13のデフォルトインストール」で、実際に悪用できたという。また、他のディストリビューションも攻撃に脆弱である可能性が高いという。ただし、glibcを使用しない「Alpine Linux」は影響を受けない。

 研究者らは、このエクスプロイトの手法は、「LinuxにデフォルトでインストールされているSUID-rootプログラムのほぼすべてに対して有効」だと指摘している。

 この脆弱性は、2021年4月にリリースされたglibc 2.34に起因している。問題は、glibcのld.soダイナミックローダーのバッファオーバーフローの弱点にあるが、これはLinuxシステムでプログラムの準備と実行を担う重要なコンポーネントだ。この脆弱性が、GLIBC_TUNABLESの環境変数を処理する際にトリガーされるため、システムの完全性とセキュリティーにとって大きな脅威となっている。

 この問題は、どのくらい深刻なのだろうか。TRUの製品マネジャーであるSaeed Abbasi氏は、次のように説明している。「この環境変数は、glibcと連携するアプリケーションの微調整や最適化を行うためのもので、開発者やシステム管理者にとって不可欠なツールだ。そのため、誤用や悪用はシステムの性能、信頼性、セキュリティーに広範な影響を与える可能性がある」

 このためユーザーは、直ちにパッチを適用することが推奨されている。

 Red Hat、Ubuntu、Debian、Gentooはすでにアップデートをリリースしている。さらにアップストリームのglibcコードにも、修正パッチが施された。

 Red Hatはパッチを適用できないユーザー向けに、問題を軽減するためのスクリプトを提供している。これにより、GLIBC_TUNABLESが起動したsetuidプログラムをすべて終了するように設定できる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Meta、ロシアの侵攻とともにサイバー攻撃が急増と報告
IT関連
2022-04-09 18:17
水素関連株に改めて注目:参考銘柄と投資戦略
IT関連
2021-08-03 04:01
Docker Desktop 4.35正式版登場。Appleシリコン専用のハイパーバイザ採用でmacOSでの性能向上。ターミナル機能やボリュームのクラウドバックアップも正式版に
Apple
2024-11-14 22:57
Deel、「グローバル・ペイロール」提供–世界90カ国以上の従業員の給与計算を効率化
IT関連
2022-07-06 23:20
今からクラウドビジネスに参入する組織とビジネスマンのための、クラウド技術トレンド解説。クラウドファーストからクラウドネイティブへの潮流[PR]
PR
2021-05-12 11:47
iTunesカードの10%還元、コンビニ各社で 5月9日まで
くらテク
2021-04-27 15:29
JR西日本ら6社、持続可能な社会インフラの再構築に向け「JCLaaS」を開始
IT関連
2024-02-21 05:01
Voicy、「Voice Contents Studio」を設立 法人向けに音声コンテンツの企画から配信までトータルプロデュース
企業・業界動向
2021-04-13 01:41
NTTら9社、ソフトウェア開発におけるCO2排出量の算定ルールを策定
IT関連
2024-04-02 15:27
変わりつつあるソフトウェア開発と必要なスキル–シスコのCIOに聞く
IT関連
2023-02-04 18:24
産総研、生成AI開発力強化に向け次世代スパコン構築–HPEとNVIDIAが支援
IT関連
2024-07-14 05:24
オブザーバビリティ統合プラットフォームベンダーのナンバーワン目指す–Datadog Japan 正井社長
IT関連
2024-04-03 15:29
ワークデイ、日本法人の社長に古市力氏が就任
IT関連
2024-02-06 12:01
フロリダ州都市の水処理システムにハッカー侵入–水酸化ナトリウム濃度を100倍以上に
IT関連
2021-02-11 10:24