2016年4月10日日曜日

「Ubuntu 14.04 LTS」がLinuxカーネルのセキュリティ脆弱性に対処

4種類のバグを修正するUbuntuのアップデートがリリースされた。この中には、攻撃者がコードを実行できるバグも含まれる。

 バグは5年のサポート期間を持つ「Ubuntu 14.04 Long Term Support(LTS)」に影響する。Ubuntu Security Noticeのページでは、Ubuntuユーザーに対し、4件のセキュリティ問題について説明している。どれもリモートからは悪用できない。

 最も深刻なのはLinuxカーネルドライバに発見された解放済みメモリ使用の脆弱性だ(CVE-2015-8812)。2015年にVenkatesh Pottem氏が発見したもので、優先順位はMedium(中間)のバグと位置付けられている。悪用されるとローカルの攻撃者がシステムクラッシュを引き起こし、システム上でコードを実行されるというものだ。

 2つ目として、Canonicalは優先順位がLow(低)のLinux Extended Verification Moduleにおけるサイドチャネル攻撃の1種であるタイミング攻撃に対するバグも修正した(CVE-2016-2085)。

 3つ目のバグは、Linuxカーネルがファイルディスクリプタを不正確に扱っていたことに起因する(CVE-2016-2550)。ローカルの攻撃者がDoS(サービス拒否)攻撃を仕掛けることができるもので、優先順位はMedium(中間)と位置付けられていた。

 4つ目のバグもDoS攻撃につながるもので、Linuxカーネルがバッファパイプにデータを割り当てる最大量を制限しないために生じる(CVE-2016-2847)。優先順位はLow(低)と位置付けられている。

ソース ZDNet より

すでに我が家のLinuxマシンは、全て4.4.6に切り替え済みなので、上記については心配はないと思っています。

そういえば、最近Linuxのマルウェアが広まっているとか・・・・
厄介ですね。

Linuxだからといって、安心はできませんね。


新品価格
¥821から
(2016/4/10 15:00時点)

0 件のコメント: