病気そのものよりも治療の方が悪影響を与えるというケースが時々ある。「GRUB2」ブートローダーや「Secure Boot」で最近発見された「BootHole」という脆弱性を用いることで、Linuxシステムへの攻撃が理論的には可能となる。しかし現実的には、BootHoleという脆弱性を悪用できるLinuxシステムは、既に攻撃者の手に落ちているもののみだ。とは言うものの、悪用されかねない脆弱性が存在しているのは事実であるため、ほぼ全てのエンタープライズ向けLinuxディストリビューターはパッチをリリースしてきている。ただ残念ながら、少なくともRed Hatは新たな問題を作り込んでしまったようだ。
「Red Hat Enterprise Linux(RHEL)8.2」にパッチを適用した多くのユーザーが、システムを起動できなくなったと報告している。また、この問題は「RHEL 7.x」や「RHEL 8.x」が稼働するコンピューターでも発生しているようだ。とは言うものの、その影響はベアメタル上で稼働しているサーバーに限られると考えられる。実際、「Secure Boot」ファームウェアを用いていないRHELの仮想マシン(VM)は問題なく稼働している。
この問題を抱えているのはRHELだけではない。「CentOS 7.x」や「CentOS 8.x」のユーザーも同じ問題を報告している。さらに、その他のLinuxディストリビューションでもBootHoleのブート問題が散発的に報告されている。
Red HatのPSIRT(Product Security Incident Response Team)のディレクターであるPeter Allor氏は、修正作業が進行中だとした上で、筆者に対して次のように語った。
「Red Hatは、BootHoleとして知られている脆弱性(「CVE-2020-10713」)の修正パッチによって、『Red Hat Enterprise Linux 7』と『Red Hat Enterprise Linux 8』が稼働する一部のシステムでリブートできなくなる可能性があり、修正には手作業での介入が必要となっているという問題について認識している。われわれは現在、この問題について調査しており、詳しい情報が分かり次第、提供していくつもりだ」
Red Hatの従業員によると、修正パッチに対する修正がもうすぐ利用可能になるという。このため、まだパッチを適用していないのであれば、その適用を控えるのが得策だろう。既にパッチを適用し、問題を抱えていても、まもなく支援の手が差し伸べられるはずだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。