Linux は他の多くのオペレーティング システムに比べてセキュリティ上の利点があることでよく知られていますが、だからといって問題が起こらないというわけではありません。
たとえば、今月初めに初めて発見された Linux カーネルの欠陥により、ハッカーは 64 ビット Linux オペレーティング システムでルート権限を取得するだけでなく、後でさらに悪用できるように「バックドア」を残すことができるようになります。
CVE-2010-3081として知られるこの注目度の高い脆弱性は、RHEL、CentOS、Debian、Ubuntu、CloudLinux、SuSEなど、64ビットLinuxディストリビューションのほぼすべてのユーザーに影響を与えます。この脆弱性は2008年にLinuxカーネルに導入され、先週、「Ac1db1tch3z」という名のハッカーが、この脆弱性を悪用する方法に関する詳細情報を公開しました。
本質的に、この脆弱性は、Linuxカーネルが32ビットシステムコールのためにメモリを割り当てる際にメモリ範囲を検証する方法に問題があるため発生します。その結果、64ビットシステムでは、ローカルの攻撃者が悪意のあるマルチキャスト「getsockopt」呼び出しを実行してルート権限を取得する可能性がありました。
この脆弱性は、この特定の脆弱性の影響を受けない 32 ビット Linux システムでは問題になりません。
効果のない回避策
セキュリティ企業Kspliceによると、このエクスプロイトが公開されて以来、複数の主要なLinuxシステムにおいて、このエクスプロイトを利用してスーパーユーザー権限を取得しようとするハッキング攻撃が報告されています。その後まもなく、RHELをはじめとするLinuxシステム向けに一時的な回避策がいくつか公開されましたが、脆弱性は完全には修正されていませんでした。むしろ、エクスプロイトの修正版は、後日アクセス権限の取得に利用される可能性がありました。
Kspliceは土曜日、Linuxユーザーが脆弱性攻撃の特徴的な「バックドア」を探すことで、自分のマシンが既に攻撃を受けているかどうかを判断できるツールをリリースした。Kspliceによると、侵入を受けたシステムのユーザーは、標準的なインシデント対応手順に従うべきだという。
一方、侵害を受けていないシステムで問題を修正するには、ユーザーは Ksplice の「Uptrack」サービスの 30 日間無料トライアルを利用できます。このサービスでは、再起動することなく、実稼働システムの脆弱性を無料で修正します。
Linux カーネルにはすでにパッチが適用されており、Ubuntu、Red Hat、Debian、CentOS など、影響を受ける多くの Linux ディストリビューションでも修正プログラムがリリースされています。
もう一つのカーネル欠陥
偶然にも、CVE-2010-3301として知られる2つ目の類似のLinuxエクスプロイトも最近発見され、先週Linuxカーネルで修正されました。この問題は、64ビットシステムで32ビットシステムコールを実行する際に、64ビットカーネルのレジスタが正しくフィルタリングされていないことに起因しています。これもまた、ローカルの攻撃者がルート権限を取得する可能性を秘めています。
Ubuntuの金曜日のアップデートでは、CVE-2010-3301の脆弱性も修正されました。RHELはこの特定の問題の影響を受けませんが、Fedora、Debian、その他のディストリビューションの開発者は現在、この問題への対処に取り組んでいます。
その間、ユーザーは改ざんの兆候を見つけるために chkrootkit ツールの使用も検討できます。
Twitterでキャサリン・ノイズをフォローしてください: @Noyesk。
