4種類のバグを修正するUbuntuのアップデートがリリースされた。この中には、攻撃者がコードを実行できるバグも含まれる。
バグは5年のサポート期間を持つ「Ubuntu 14.04 Long Term Support(LTS)」に影響する。Ubuntu Security Noticeのページでは、Ubuntuユーザーに対し、4件のセキュリティ問題について説明している。どれもリモートからは悪用できない。
最も深刻なのはLinuxカーネルドライバに発見された解放済みメモリ使用の脆弱性だ(CVE-2015-8812)。2015年にVenkatesh Pottem氏が発見したもので、優先順位はMedium(中間)のバグと位置付けられている。悪用されるとローカルの攻撃者がシステムクラッシュを引き起こし、システム上でコードを実行されるというものだ。
2つ目として、Canonicalは優先順位がLow(低)のLinux Extended Verification Moduleにおけるサイドチャネル攻撃の1種であるタイミング攻撃に対するバグも修正した(CVE-2016-2085)。
3つ目のバグは、Linuxカーネルがファイルディスクリプタを不正確に扱っていたことに起因する(CVE-2016-2550)。ローカルの攻撃者がDoS(サービス拒否)攻撃を仕掛けることができるもので、優先順位はMedium(中間)と位置付けられていた。
4つ目のバグもDoS攻撃につながるもので、Linuxカーネルがバッファパイプにデータを割り当てる最大量を制限しないために生じる(CVE-2016-2847)。優先順位はLow(低)と位置付けられている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。