6月29日(米国時間)、Threatpostに掲載された記事「Ubuntu Fixes Linux Systemd Bug|Threatpost|The first stop for security news」が、Linuxで使われているsystemdというソフトウェアに脆弱性が存在しており、細工されたDNSサーバを利用されると、サービス妨害攻撃を受けたり任意のコードが実行されたりする危険性があると伝えた。systemdバージョン223からバージョン233までのすべてのバージョンが影響を受けるという。
この脆弱性「CVE-2017-9445」は、CanoicalのエンジニアであるChris Coulson氏が発見したもの。Ubuntuは 17.04と16.10がこの脆弱性の影響を受けることを発表しており、これらに対し、パッチの提供を開始している。
|
Ubutuの脆弱性に関する告知 |
systemdはLinuxで採用されることが多いソフトウェア。従来のUNIX系オペレーティングシステムで使われてきたinitデーモンにサービスの起動や停止、モニタリングなどさまざまな機能を追加した多機能デーモンで、人気の高いLinuxディストリビューションの多くがinitからsystemdへの変更を実施している。
単一のデーモンに多くの機能を持たせることに対してセキュリティ上の懸念を表明する開発者も多く、systemdを採用していないディストリビューションもある。systemdはこれまでに何度か脆弱性が発見されている。systemdの脆弱性は危険性が高いものになりやすいため注意が必要。それぞれのプロジェクトやベンダーから発表されるセキュリティ情報に注力するとともに、アップデートが提供された場合は迅速に適用することが望まれる。
