悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2003年11月07日(金) 11時00分

Linuxカーネルデータベースに侵入者--コードの改ざんには失敗CNET Japan

 何者かが、一般公開されているデータベースに侵入し、そこに保存されていた次期バージョンのLinuxカーネルのコードに、トロイの木馬プログラムを挿入しようとした。

 Linux開発の中心的な人物が5日(米国時間)明らかにしたところによると、BitKeeperと呼ばれるソースコード・レポジトリで、そのセキュリティ機能が、過去24時間以内に不正に変更されていたのが見つかり、この一般向けデータベースが閉鎖されたという。BitKeeperでは、Linuxカーネルのテストバージョンである最新ベータ版が、ソースコード管理プログラム Concurrent Versions System (CVS)のユーザー向けに提供されていただけだった。

 ソフトウェア開発会社BitMoverの創立者でソースコードデータベースBitKeeperの設計を主に担当したLarry McVoyは、カーネルにセキュリティ脆弱性を引き起こしたかもしれない変更は、Linuxコードには反映されておらず、脅威にはならないと話している。

 「今回の変更は、開発ツリーには全く影響していない」とMcVoyは言う。「BitKeeperでは、コードにおかしなところがないかどうかに神経質な程気を配っており、これがトロイの木馬発見のカギとなった」(McVoy)

 Linuxの生みの親で、カーネルの主導的開発者であるLinus Torvaldsは、BitKeeperを利用して、同OSの中核となるソフトウェアの変更履歴を記録している。BitKeeperは毎日、他の開発者が利用している公開/非公開データベースに、変更内容を移送している。

 McVoyによると、何者かがあるサーバに侵入して、ソースコードファイルの1つに小さな変更を行ったようだという。この変更から生じた欠陥で、そのソースコードをコンパイルしたカーネルが稼動する全てのLinuxマシン上で、ユーザー権限のレベルを上げられてしまう可能性がある。ただし、この影響が及ぶのは、コードが変更されてから、それが検知されるまでの24時間以内に、このデータベースを利用した開発者だけだ、とMcVoyは述べた。

 「我々は真っ先に変更箇所を元に戻した。変更箇所は5分で見つかった」(McVoy)

 BitKeeperは、ソースコードを他のサーバに移送する際、全てのファイルにおかしな箇所がないかをチェックし、ファイルの正式バージョンとリモートマシンのバージョンとのデジタル識別子を照合する。この比較によって、サーバに記録されたコードに変更があったことが判明した。

Linux Torvaldsはこの問題に関して、Linuxカーネルメーリングリストに投稿を行なっている。

「現行システムは、複数の仕組みのおかげでかなり安全になっている」とTorvalds。「誰かが(BitKeeperの)ツリー(ソフトウェアレポジトリ)に直接アクセスしようとすると、直ちに通知されるというのも、そうした仕組みの1つだ」(Torvalds)

関連記事:
人気オープンソースソフト2種に相次ぎ脆弱性見つかる
OpenSSHに深刻な脆弱性、ネットワークに「合鍵」が存在
GNUサイトがクラックされていた
Linuxカーネルにセキュリティホール
BINDに重大な脆弱性、アップデートを強く勧告

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

 ■CNET Japanニューズレター(無料)
  国内外のIT関連ニュースやコラムの新着情報を毎日お届けします。お申し込みはこちら。

[CNET Japan]
http://japan.cnet.com/ (CNET Japan)

http://headlines.yahoo.co.jp/hl?a=20031107-00000003-cnet-sci

最新のニュース記事一覧
お問い合わせ