10/24/2016

[IT] 現行Linuxのほぼ全てに深刻なカーネル脆弱性発覚

またしてもLinuxに致命的な脆弱性が発覚しています。今回の脆弱性はカーネル自体に存在するもので、既に各主要ディストリビューションの現行カーネル用のパッチも公開されていますが、適用には相当の労力と時間が必要になるでしょう。とりわけ、組込系や各種稼働中のシステム等、容易にカーネルを変更出来ない、もしくは変更するにも膨大な検証が必要になるだろう各々のシステムの管理者の方々には、誠にご愁傷さまです。

本件脆弱性は、大まかに言えば、読み込み専用領域に権限のない一般アカウントから不正アクセス出来るようになり、それによってroot権限等も奪取されてしまうというものです。該当するカーネルバージョンは2.6.22(2007年リリース)から直近までであり、事実上パッチが当たっていないものはほぼ全てが対象という事になります。Copy On Writeの機能部分に存在する事から、Dirty Cow(汚い牛)と呼ばれているようですが、それはさておき。

Linusの説明によれば、11年前、すなわち元々の開発中の段階で本件脆弱性の存在を把握していたけれども、その時点では悪用は困難であり、修正もまた困難であった事からそのままにしていたところ、その後のカーネルの変更に伴い悪用が容易になってしまったんだそうです。

・・・これはちょっと勘弁して頂きたい(かった)ですね。事情は理解出来なくもないし、正直に説明した点は好ましくも思われますが、あまりに見通しが甘すぎたと言わざるを得ません。何よりいくら実装が困難だったと言っても、放置した期間が長すぎます。その結果としてあまりに膨大な範囲に被害を及ぼしてしまった事からすれば、その被害を受けた向きから相応に厳しい非難をされても当然と言うべきでしょうか。

ともあれ。Ubuntuにおけるパッチ適用済カーネルのバージョンは下記の通りとなっています。これより古いものはアウトにつき、可及的速やかに適用が必要ですね。既に悪用するコードも出回っているとの事ですし。

<対策済カーネルバージョン>
  
Ubuntu 16.10: 4.8.0-26.28
Ubuntu 16.04 LTS: 4.4.0-45.66
Ubuntu 14.04 LTS: 3.13.0-100.147
Ubuntu 12.04 LTS: 3.2.0-113.155

なお、カーネルバージョンの確認コマンドは下記。

$ uname -rv

またしてもLinuxの信用が。。。とほほ。ここ数年、毎年のように起こっている話ではあるし今更かもしれませんけれども、残念です。

Dirty COW explained: Get a moooo-ve on and patch Linux root hole

[関連記事 [IT biz] Appleの製品・サービスに相次ぐ致命的脆弱性]
[関連記事 [IT] bashに最悪の脆弱性発覚]
[関連記事 [IT biz] OpenSSLで再び通信全漏れの脆弱性発覚]
[関連記事 [IT] OpenSSLに深刻な脆弱性、通称Heartbleed]
[関連記事 [IT] sambaの3.6.3以前全てに脆弱性]