2003年09月22日(月) 09時01分

人気オープンソースソフト2種に相次ぎ脆弱性見つかる（CNET Japan）

　Microsoft Windowsの脆弱性がニュースで大々的に報じられるなか、研究者らは先週、広く使われている2つのオープンソースのソフトに脆弱性を発見した。　2つの脆弱性のうち、より深刻なのは、オープンソースの電子メールサーバプログラム、Sendmailの脆弱性だ。米Internet Security Systemsのエンジニアリングマネジャー、Dan Ingevaldsonによると、Sendmailが電子メールのヘッダを解析する方法のなかに、問題の脆弱性が存在するという。

　「これは非常に重大な脆弱性だ」とIngevaldsonは述べ、コンピュータ攻撃者がこの脆弱性を悪用する恐れがあると付け加えた。また先週、OpenSSHプログラムに見つかった別の脆弱性が悪用される可能性は、それほどはっきりしていないとIngevaldsonは言う。

　IngevaldsonはOpenSSHの脆弱性について、「理論の域を出ていないが、悪用される可能性はある」と述べている。OpenSSHは、ネットワーク管理者がシステムにリモートからログインしたり、コンピュータなどのネットワーク機器へのアクセスを暗号化したりするのに利用しているプログラムだ。

　OpenSSHの脆弱性は、悪用される恐れの有無は定かでないが、悪用される可能性があるとすれば深刻な問題だ。この脆弱性はユーザー認証以前の部分にあるため、ユーザーはログインするための権限を持っていなくてもこの脆弱性を悪用できる、とカーネギーメロン大学CERT Coordination Centerのインターネットセキュリティ・アナリスト、Jason Rafailは述べている。

　CERTは16日（米国時間）、OpenSSHの脆弱性に関する 勧告 を発表した。またSendmailの脆弱性については18日に 勧告 を公表している。

　OpenSSHの脆弱性は、プログラムがバッファと呼ばれるストレージ領域にデータを保存する方法のなかに存在し、バージョン3.7.1より前のバージョン全てに影響する。米Cisco Systemsは、同社製品のなかにこの脆弱性の影響を受けるものがあると述べている。また、米Red Hatや米Sun Microsystems、米IBMのAIX Toolbox for Linuxでは全て、脆弱性のあるOpenSSHバージョンが使用されている。

　Sendmailの欠陥は8.12.10以前のバージョンに影響する。IBMやRed Hatなどの製品にはSendmailが利用されており、脆弱性の影響を受ける可能性がある。

　SendmailもOpenSSHも、大企業で広く利用されているため、ハッカーにとっては魅力的なターゲットとなる、とIngevaldsonは述べている。「ハッカーは価値の高いターゲットを攻撃したがるものだ」（Ingevaldson）

関連記事：
OpenSSHに深刻な脆弱性、ネットワークに「合鍵」が存在
Sendmailのプレスキャン機能に新たなセキュリティホール
ハッカー、Sendmailの脆弱性を突くコードを公開
Sendmailに重大なセキュリティホール

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

【CNET Japanニューズレター】（無料）
最新ニュースを毎朝メールでお届けします。お申し込みはこちらから。

[CNET Japan]
http://japan.cnet.com/ （CNET Japan）

http://headlines.yahoo.co.jp/hl?a=20030922-00000001-cnet-sci