カーネギーメロン大学ソフトウェア工学研究所は7月17日(米国時間)、「VU#790507 - Oracle Solaris vulnerable to arbitrary code execution via /proc/self」において、Oracle Solaris 11およびSolaris 10に脆弱性が存在すると伝えた。
-
VU#790507 - Oracle Solaris vulnerable to arbitrary code execution via /proc/self
Oracle Solaris 11およびOracle Solaris 10はプロセスファイルシステム(/proc)を提供している。プロセスファイルシステムの保護機構は、自身のプロセスが/procを介して変更することを適切に制限していない。このため、攻撃者はファイルI/Oを提供するプロセスを変更して任意のコードを実行することができてしまうとされている。
Oracleはすでにこの脆弱性を修正するためのパッチを含むアップデートを提供している。アップデートを適用することで問題を解決できるほか、chroot(2)を利用して/procへのアクセスを制限することで問題を回避することもできる。
