Xen Projectは米国時間2月15日、仮想化ソフトウェア「Xen」のメンテナンスリリースとして「Xen 4.6.1」を公開したとブログで発表していたが、その際に2つの重要なセキュリティフィックスが「部分的にしか適用されていない」点に言及していた(なお、1月28日公開の「Xen 4.4.4」も同様だったという)。
そして17日、同プロジェクトはこの投稿をアップデートし、この状態でのリリースに至った経緯を説明した。
Xen Projectは、単一ホストマシン上でさまざまなOSインスタンスを稼働させる、オープンソースのハイパーバイザを開発するプロジェクトだ。このハイパーバイザは「Microsoft Windows」やLinux、「Apache CloudStack」「OpenStack」を含む各種のOSやクラウドソフトウェアをサポートしている。
仮想化ソフトウェアやクラウドソフトウェアは、ホスティングサービスやクラウドを提供するベンダーや、個人、研究機関といった数多くのユーザーに利用されている。
Xen Projectは、Xen 4.6.1の公開にあたって、2つの深刻なセキュリティ脆弱性に対するパッチを含めようとしていた。
1つ目の脆弱性「XSA-155」はバックエンドのドライバに関連するバグであり、ダブルフェッチの脆弱性につながり、遠隔地からのコード実行に悪用される危険をはらんでいる。
2つ目の脆弱性「XSA-162」はヒープ領域のバッファオーバフローに関するものであり、攻撃者はこれを悪用することで、バックエンドのコンフィグレーション設定を変更できるようになる。
しかし不可解なことに、最新リリースにはこれらの問題を完全に解決するパッチではなく、部分的なソリューションのみが含まれていた。
Xen Projectは同ブログ投稿へのアップデートで、パッチが部分的である点に気付いたのは公式リリースの前であったものの、リリース工程の終盤に差しかかってからであり、この「見過ごし」に対処するには遅すぎたと説明している。そして、リリース番号を欠番にして新たなリリースを公開し、ユーザーを混乱させる危険をおかすのではなく、用意していたリリースをそのまま公開するという安全策を採ったと記している。
投稿には以下のように記されている。
「通常の場合、テスト工程が完了した後、Gitのソースツリー上に署名付きタグを作成する。これにより、tarball(圧縮アーカイブ)の出自を明らかにするセキュアな方法が実現される。その後、ビルドを再作成し、付加的なテストを実施し、リリースノートを記述し、さらなるチェックを行い、tarballに署名する。パッチが部分的にしか適用されていないことに気付いたのは11日で、15日の公式リリースより前だったが、既に署名付きタグを作成した後だった」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
