編集部からのお知らせ
HCIの記事をまとめた資料ダウンロード
記事集:クラウドのネットワーク監視

Xen Project、「Xen 4.6.1」に重要なパッチを含めなかった理由を説明

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2016-02-19 10:51

 Xen Projectは米国時間2月15日、仮想化ソフトウェア「Xen」のメンテナンスリリースとして「Xen 4.6.1」を公開したとブログで発表していたが、その際に2つの重要なセキュリティフィックスが「部分的にしか適用されていない」点に言及していた(なお、1月28日公開の「Xen 4.4.4」も同様だったという)。

 そして17日、同プロジェクトはこの投稿をアップデートし、この状態でのリリースに至った経緯を説明した。

 Xen Projectは、単一ホストマシン上でさまざまなOSインスタンスを稼働させる、オープンソースのハイパーバイザを開発するプロジェクトだ。このハイパーバイザは「Microsoft Windows」やLinux、「Apache CloudStack」「OpenStack」を含む各種のOSやクラウドソフトウェアをサポートしている。

 仮想化ソフトウェアやクラウドソフトウェアは、ホスティングサービスやクラウドを提供するベンダーや、個人、研究機関といった数多くのユーザーに利用されている。

 Xen Projectは、Xen 4.6.1の公開にあたって、2つの深刻なセキュリティ脆弱性に対するパッチを含めようとしていた。

 1つ目の脆弱性「XSA-155」はバックエンドのドライバに関連するバグであり、ダブルフェッチの脆弱性につながり、遠隔地からのコード実行に悪用される危険をはらんでいる。

 2つ目の脆弱性「XSA-162」はヒープ領域のバッファオーバフローに関するものであり、攻撃者はこれを悪用することで、バックエンドのコンフィグレーション設定を変更できるようになる。

 しかし不可解なことに、最新リリースにはこれらの問題を完全に解決するパッチではなく、部分的なソリューションのみが含まれていた。

 Xen Projectは同ブログ投稿へのアップデートで、パッチが部分的である点に気付いたのは公式リリースの前であったものの、リリース工程の終盤に差しかかってからであり、この「見過ごし」に対処するには遅すぎたと説明している。そして、リリース番号を欠番にして新たなリリースを公開し、ユーザーを混乱させる危険をおかすのではなく、用意していたリリースをそのまま公開するという安全策を採ったと記している。

 投稿には以下のように記されている。

 「通常の場合、テスト工程が完了した後、Gitのソースツリー上に署名付きタグを作成する。これにより、tarball(圧縮アーカイブ)の出自を明らかにするセキュアな方法が実現される。その後、ビルドを再作成し、付加的なテストを実施し、リリースノートを記述し、さらなるチェックを行い、tarballに署名する。パッチが部分的にしか適用されていないことに気付いたのは11日で、15日の公式リリースより前だったが、既に署名付きタグを作成した後だった」

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]