全てのGNU/Linux システムへ影響を与える古い脆弱性が発見される

古い脆弱性がすべてのGNU/Linux システムへ影響を与える可能性

サイバーセキュリティ研究者でLinux開発者のシモーネ・マルガリテッリ氏は、攻撃者が脆弱なシステムを完全に制御できる可能性のある重大なLinuxの脆弱性を発見しました

2024年9月27日:本脆弱性は予想より影響が低いと発表されました。

脆弱性の概要 具体的な詳細は機密段階

この脆弱性は、10年以上前から存在していると言われており、すべてのGNU/Linuxシステムに影響を与えます。

セキュリティリスクについてまだ議論中

問題の深刻さにもか​​かわらず、 CVEの識別子が未だに割り当てられておらず、開発者は脆弱性の特定の側面がセキュリティリスクをもたらすかどうかについてまだ議論を続けています。

この意見の不一致により、問題への対処が遅れ、セキュリティ研究者の間で不満が生じています。

マルガリテッリ氏は、この情報開示の取り扱いについて公に失望を表明しました。

研究者は脆弱性の開示を選択

彼の決定は修正競争を加速させる可能性がありますが、迅速な対策が講じられなければ、何百万もの Linux システムが悪意のある攻撃にさらされることになります。

どのサービスまで影響するかは不明

この脆弱性は、OpenSSH などの既知の公開サービスや、Net Filter などのフィルタリング サービスに影響を及ぼす可能性がありますが、どのサービスが影響を受けるかは示されておらず、これらは単なる仮説にすぎません。

最新のアップデートによると、この欠陥はまず 9 月 30 日に Openwall セキュリティ メーリング リストに公開され、その後 10 月 6 日に完全に公開される予定です。

Linux ユーザーは、パッチが利用可能になり次第、公式のアップデートとパッチ システムについて最新情報を入手することをお勧めします

Log4j/Log4Shell の脆弱性 (CVE-2021-44228) と疑似性が指摘される

ソフトウェアセキュリティプラットフォームSonatypeのCTOであり、Open Source Security Foundationの理事会メンバーであるブライアン・フォックス氏は、今回指摘されている脆弱性とLog4j/Log4Shell脆弱性(CVE-2021-44228)との類似点を見つけました。

ブライアン氏は、Sonatypeの研究チームやOpen Source Security Foundationと協力して、問題の深刻さと可能な緩和方法を理解しています。

「技術的な詳細はまだわかりませんが、CVSS 9.9 の脆弱性は悪用がそれほど複雑ではないことを示し、システムの中核に欠陥があることを示す兆候があります。これは Linux であることを考えると、この脆弱性の範囲は広大で、悪用が成功すると壊滅的な被害を受ける可能性があります。Wi-Fi ルーターから電気を供給し続けるグリッドまで、すべてが Linux 上で動作しているのです」とブライアン氏は説明しました。

さらに彼は、「この低複雑性と高使用率の組み合わせは Log4Shell を彷彿とさせますが、ここでの使用規模ははるかに大きいです。この脆弱性の発見と修正には時間がかかるため、段階的に開示を廃止する論理は理解できますが、脅威アクターがコミット履歴を精査し、悪用する手がかりを探していることも予想する必要があります。」と付け加えました。

セキュリティチームは休暇をキャンセルしてください

ブライアン氏は「詳細が明らかになるのを待つ間、企業のセキュリティ チームは自社の環境と SBOM を徹底的に調査し、どこに脆弱性があるかを把握してパッチを当てる準備をする必要があります。休暇はキャンセルしてください。10 月 6 日は攻撃者との戦いになる可能性があるからです」と強調しました。

参照

Old Vulnerability Rated 9.9 Impacts All GNU/Linux Systems, Researcher Claims

TOPへ