「Linux」のセキュリティ–独自CVE公開とサポート期間短縮の影響

今回は「「Linux」のセキュリティ–独自CVE公開とサポート期間短縮の影響」についてご紹介します。

関連ワード （ソフトウェア等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　「Linux」カーネル開発の動向を知りたければ、「Linux Kernel Mailing List」を購読するといい。Linuxカーネルの実状を深いレベルで知りたいが、細かな部分まですべて追跡したくはないという場合は、「Linux Weekly News」（LWN）を購読しよう。

　だが、Linuxカーネルの現状に関する幅広い概要を手早く知りたいなら、筆者と同じことをするのがいいだろう。それは、Linuxカーネルの開発者でLWNの編集長であるJonathan Corbet氏が、Linuxの大規模カンファレンスで実施したLinuxカーネルの現状に関するプレゼンテーションを見ることだ。

　シアトルで開催の「Open Source Summit North America」において、Corbet氏はLinus Torvalds氏の見解に同意を示した。Torvalds氏は同カンファレンスで、次期カーネルの「Linux 6.9」はすべてが「穏やかで安定し、退屈である」と述べていた。穏やかというのは朗報だ。

　しかし、Corbet氏は、不安な知らせがあるとも述べている。「攻撃者が十分に狡猾であれば、カーネル内に存在するほぼすべてのバグが、システムの侵害に悪用されるおそれがある。カーネルはシステム内の特殊な場所にあり、多くの普通のバグを脆弱性に変える」

　その状況に関して、新しいことは何もない。OSのすべてのバグには悪用される可能性がある。この事実を明確に示す動きとして、Linuxカーネル開発者は先頃、独自の共通脆弱性識別子（CVE）番号を公開するようになった。Corbet氏が説明するように、「ほぼどんなバグでも脆弱性になり得るため、注意を払い、警戒するつもりだ。将来のある時点で脆弱性になる可能性があるほぼすべてのものにCVE番号を割り当てていく」

　そのアプローチにより、現在では非常に多くのLinuxカーネルCVEが存在する。2月以降だけでも、新たに800件のCVEが割り当てられた、とCorbet氏は語る。

　Linuxシステムの安全性とセキュリティを確保するには、どうすればいいのだろうか。答えは簡単だ。ディストリビューションで長期安定（LTS）版カーネルリリースを使用すればいい。これらのリリースではCVEが修正されており、新しい問題が修正されるとLTSカーネルに移植される。

　とはいえ、Corbet氏が指摘した、LTSリリースのサポート期間が以前より短くなるという点には留意すべきだ。LTS版のサポート期間は6年間ではなく、わずか2年間になった。そのため、2024年1月をもって、「Linux 4.14」はサポートが終了した。2024年末には、このリリースに加えて「Linux 4.19」カーネルのサポートが終了する。2026年までサポートされるのは、直近にリリースされた2つのLTS版だけだ。

　自分の使用しているバージョンが分からない場合は、シェルから以下のコマンドを実行しよう。

　空白以外の結果が表示された場合は、LTS版が実行されている。