特に重要なセキュリティ欠陥・ウイルス情報

Linux Kernel 2.6.28 以降に欠陥があり、起動後 208.5 日経過すると勝手に再起動することが明らかになりました。

• sched_clock() overflow after 208.5 days in Linux Kernel (okkyの銀河制圧奇譚)

この欠陥は Pentium 4 以降の Intel 系 CPU (互換 CPU 含む、32bit / 64bit どちらでも) を実機で動作させた場合に発現します。仮想マシン上で動作させた場合や、Intel 系ではない CPU で動作させた場合には発現しません。

この欠陥は Linux Kernel 2.6.32.50 / 3.0.13 / 3.1.5 で修正されています。各ディストリビューションでの対応状況は以下の通りです。

• Fedora 16: Fedora 16 Update: kernel-3.1.6-1.fc16 で修正されています。
• Vine Linux 6: kernel のバグフィックス で修正されています。
• Red Hat Enterprise Linux 6: RHBA-2012:0124-1 で修正されています。
• CentOS 6: CEBA-2012:0124 で修正されています。
• Debian 6.0 (Squeeze): linux-2.6 (2.6.32-40) で修正されています。squeeze/linux-2.6/debian/changelog 参照。
• Ubuntu 11.10 (Oneiric): まだ修正版 kernel が公開されていません。起動後 200 日以内に手動で再起動して回避して下さい。 11.10 には影響しないようです。Bug #805341 sched clock overflows in 208 days (i386 and amd64) 参照。
• Ubuntu 11.04 (Natty): 2.6.38-13.55 で修正されています。
• Ubuntu 10.10 (Maverick): 2.6.35-32.65 で修正されています。
• Ubuntu 10.04 LTS (Lucid): 2.6.32.50 で修正されています。
• SuSE 11 SP1: サポートから PTF を入手できます

Linux Kernel と GNU libc に権限上昇を許す欠陥が発見されました。この欠陥を利用すると、ローカルユーザが root 権限を取得できます。既に攻略方法・攻略ファイルが広く出回っています。

• JVNVU#362983: Linux カーネルにおける RDS プロトコルの実装に脆弱性 (JVN)
• JVNVU#537223: glibc に権限昇格の脆弱性 (JVN)

主要な Linux ディストリビューションでは、修正版のパッケージが用意されています。

• RHSA-2010:0792-1 - Important: kernel security update (Red Hat EL 5)
• CESA-2010:0792 Important CentOS 5 x86_64 kernel (CentOS 5)
• USN-1000-1: Linux kernel vulnerabilities (Ubuntu)

• RHSA-2010:0793-1 - Important: glibc security update (Red Hat EL 5)
• CESA-2010:0793 Important CentOS 5 x86_64 glibc (CentOS 5)
• USN-1009-1: GNU C Library vulnerabilities (Ubutu)

利用者は、apt や yum などといったツールを通じて更新するか、あるいはパッケージファイルを直接インストールしてください。

Debian GNU/Linux の OpenSSL パッケージに重大な欠陥が発見されました。乱数生成器に重大な欠陥があり、生成される乱数を容易に予測できてしまいます。このため攻撃者は SSL や SSH で使用される公開鍵暗号の鍵を容易に予測でき、結果として、本物のサーバになりすましたり、SSH の公開鍵認証を総当り攻撃で突破したりできます。

欠陥があるのは、Debian 4.0 (etch) で使用されている openssl パッケージ 0.9.8c-1 以降です。openssl 0.9.8c-4etch3 で修正されています。ubuntu 7.04～8.04 や Knoppix 5.1 以降など Debian GNU/Linux に基づくディストリビューションにも同じ問題があります。

• Debian GNU/Linux
  • OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等）
  • DSA-1571-1 openssl -- 予測可能な乱数の生成
  • DSA-1576-1 openssh -- 予測可能な乱数生成器

• ubuntu
  • USN-612-1: OpenSSL vulnerability
  • USN-612-2: OpenSSH vulnerability
  • USN-612-3: OpenVPN vulnerability
  • USN-612-4: ssl-cert vulnerability
  • USN-612-5: OpenSSH update
  • USN-612-6: OpenVPN regression

• Knoppix
  • 開発元からの情報はありませんが、Knoppix 5.1 以降にこの欠陥が存在すると思われます。

対応手順は次のとおりです。

• 修正版のパッケージをインストールする。詳細は上記リンクを参照。
• 脆弱な鍵が存在する場合は、鍵を再生成する。

SSH については、鍵を検査するためのユーティリティ dowkd.pl が用意されています。また SSL 証明書については、ubuntu の openssl-blacklist パッケージを使えば、欠陥を含む鍵を表示できます。

Debian や ubuntu を使用している場合は、早急に対応してください。

Linux カーネル 2.6.17 ～ 2.6.24.1 に重大な欠陥が発見されました。この欠陥を悪用すると、一般ユーザが root 権限を取得できてしまいます。既に攻略コードが広く公開されています。

• SA28835 - Linux Kernel "vmsplice()" System Call Vulnerabilities (Secunia)

この欠陥は Linux カーネル 2.6.23.16 および 2.6.24.2 で修正されています。また該当カーネルバージョンを利用している Linux ディストリビューションにおいて、修正プログラムを配布あるいは開発中です。

• DSA-1494-1 linux-2.6 -- missing access checks (Debian GNU/Linux)
• RHSA-2008:0129-5 - Important: kernel security update (Red Hat)
• [CentOS-announce] CESA-2008:0129 Important CentOS 5 x86_64 kernel (CentOS)
• [security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2008:007) (openSUSE)
• [SECURITY] Fedora 7 Update: kernel-2.6.23.15-80.fc7 (Fedora)
• [SECURITY] Fedora 8 Update: kernel-2.6.23.15-137.fc8 (Fedora)
• Turbolinux Security Advisory TLSA-2008-8 - kernel (Turbolinux)

各 Linux ディストリビュータから修正プログラムが配布された場合は、速やかに適用してください。

Linux カーネル 2.6.16 以前、あるいは 2.6.24.2 以降を利用している場合には、この欠陥は存在しません。そのため、修正プログラムが公開されない Linux ディストリビュータも存在することに注意してください。