多数の「Linux」ディストリビューションに影響する脆弱性--パッチ適用を

Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部

2023-10-06 10:33

 Qualysの脅威調査部門(TRU)は米国時間10月3日、GNU Cライブラリ(glibc)でセキュリティーホールを発見したと報告した。この脆弱性(CVE-2023-4911)は「Looney Tunables」と呼ばれ、深刻度をスコアで表す「脆弱性評価システム(CVSS)」では7.8、「重要」(Important)と評価されている。

Looney Tunables
提供:Qualys

 最もリスクが高い「深刻」(critical)ではないものの、このglibcの脆弱性はバッファオーバーフローであるため、厄介な問題だ。さらに、多数の「Linux」ディストリビューションに含まれている。

 TRU の研究者らによると、「(ローカル権限を昇格して完全なroot権限を付与する)この脆弱性を、『Fedora』37と38、『Ubuntu』22.04と23.04、『Debian』12と13のデフォルトインストール」で、実際に悪用できたという。また、他のディストリビューションも攻撃に脆弱である可能性が高いという。ただし、glibcを使用しない「Alpine Linux」は影響を受けない。

 研究者らは、このエクスプロイトの手法は、「LinuxにデフォルトでインストールされているSUID-rootプログラムのほぼすべてに対して有効」だと指摘している。

 この脆弱性は、2021年4月にリリースされたglibc 2.34に起因している。問題は、glibcのld.soダイナミックローダーのバッファオーバーフローの弱点にあるが、これはLinuxシステムでプログラムの準備と実行を担う重要なコンポーネントだ。この脆弱性が、GLIBC_TUNABLESの環境変数を処理する際にトリガーされるため、システムの完全性とセキュリティーにとって大きな脅威となっている。

 この問題は、どのくらい深刻なのだろうか。TRUの製品マネジャーであるSaeed Abbasi氏は、次のように説明している。「この環境変数は、glibcと連携するアプリケーションの微調整や最適化を行うためのもので、開発者やシステム管理者にとって不可欠なツールだ。そのため、誤用や悪用はシステムの性能、信頼性、セキュリティーに広範な影響を与える可能性がある」

 このためユーザーは、直ちにパッチを適用することが推奨されている。

 Red HatUbuntuDebianGentooはすでにアップデートをリリースしている。さらにアップストリームのglibcコードにも、修正パッチが施された。

 Red Hatはパッチを適用できないユーザー向けに、問題を軽減するためのスクリプトを提供している。これにより、GLIBC_TUNABLESが起動したsetuidプログラムをすべて終了するように設定できる。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]