10年以上前からの Linux 脆弱性が見つかり、詳細については来週公開予定

セキュリティメディア「HackRead」によると、10年以上前から存在していた脆弱性が最近見つかったそうです。しかも深刻度のスコアは9.9点であるくらい危ない脆弱性だけど誰にも気づかず10年が経ちました。GNUおよび Linux システムに影響を及ぼす脆弱性ですが、まだ分析が進んでおり、詳細の内容は来週中に公開される見込みです。今までは「リモートコード実行が可能」であることだけが知られています。複数の Linux 配布版の運営者がどのような調査結果を出すかに従い、史上最悪の脆弱性になれるのも無理ではないとセキュリティ専門家は危惧しています。10年も知らないまま生きてきたので、もうITシステムの隅々に脆弱性が存在している可能性が高いからです。そうだというと、見つけてパッチする作業だけでも長い時間がかかる意味にもなります。

2021年末に見つかったLog4Shell脆弱性の場合、一番多いセキュリティ専門家が「史上最悪」と選ぶ脆弱性として知られています。Log4jという要素から見つかったのですが、問題はそのLog4jという要素がサイバー空間のほぼ全てで使用されていたことです。その上にそのLog4jを基にして開発されたり、Log4jが連携されたソフトウェアは数えられないほど多く、またそのソフトウェアをもとにして作成されたアプリケーションも多いです。すなわち、Log4Shellを全部見つけ出すのはほぼ不可能だということで、このような要因のためLog4Shellは今までも解決が遠い最悪の脆弱性と呼ばれています。

HackReadは、「結果が出るまでセキュリティ担当者は、自分が所属された組織にどんな Linux およびGNU要素が使用されているのか把握しといた方が安全だと思います。」と加えました。