題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。
| Tweet |
回答先: MS社製ソフトに“のぞき穴パスワード”、同社ついに認める 投稿者 佐藤雅彦 日時 2000 年 4 月 15 日 03:47:53:
●「赤帽さん」こと“レッド法度社”はリナックスの改造
頒布会社として目下米国では最も注目を集めているソフト
ハウスだが――なにせ先日のコムデクスでもキャンペン用
の“赤帽”かぶった道化オタクたちで溢れ返っていたそう
だから――赤帽社のリナックスにも「覗き穴」が開いてい
たんだってさ。
●最初から完全なプログラムなんて、ないだろうし、その
プログラムを走らせる“環境”(システム)が更新されれ
ば新たな不具合も当然出てくるだろう。オープンソースの
ソフトウェアとて、この宿命は免れ得ない。幸いだったの
は、ソースコードを公開しているので「覗き穴」もすぐに
発見されやすいということか……。
●まぁ、マイクロソフトみたいなオカルト(密教)主義で
ないぶん、「ネスケ技術者の萎えチン野郎!!」なんてカキ
コしても、すぐにばれるだろうけどさ。
●でも最近はリナックス業界も、日本の極左や極右のセク
トみたいに、はげしく分派してどんどん迷路にはまり込ん
でいるから、そうした傾向をただすキッカケにでもなって
くれればいいのだが……。じゃなきゃ「世界を獲得する」
ことなんて――つまりMS帝国を打破して世界標準に近づくという意味だけど――到底無理だもんね。
●以下はCNET日本版から引用した最新ニュースの全文。
★ ★ ★ ★ ★ ★ ★ ★ ★
CNET Japan Tech News:
レッドハットのLinuxにセキュリティーホール
By Stephen Shankland/日本語版 中嶋瑞穂
(25 Apr 2000 13:10 PT )
あるコンピューター・セキュリティー会社が、米レッドハットのLinux最新版に重大な脆弱性を発見した。この脆弱性を利用する攻撃者は、ウェブサイトの破壊や内容の書き換えだけでなく、マシン自体の乗っ取りすらできてしまう可能性がある。
このセキュリティーホールの発覚はレッドハットにとって悪いタイミングだった。レッドハットは、同社のLinuxが電子商取引などの企業運営の基盤として優れており、米マイクロソフトのWindowsや米サン・マイクロシステムズの『Solaris』などの商用オペレーティング・システム(OS)に匹敵するソフトウェアだとして、顧客を説得しようとしていた。
レッドハットの『Piranha』ソフトウェアは、複数のLinuxマシンにウェブページ配信などのタスクを共有させるもので、同ソフトの管理にはパスワード保護機能が使われている。しかし、このソフトウェアのうちパスワードをチェックする部分が、攻撃者のあらゆるコマンドを実行してしまうのだと、Piranha製品責任者マイク・ワンズモは説明している。
「ばかなことだ」とワンズモ。ワンズモは、攻撃者は完全な管理権限を持っていないため、攻撃者が与える被害は限られていると付け加えた。しかしウェブサイトの破壊や書き換えはすでに十分な被害だ。
この問題に加え、『Red Hat 6.2』はユーザー名「piranha」とパスワード「q」というパスワードセット付きで出荷されている。つまり、管理者は始めにこのパスワードセットを知らないとこの管理ソフトを使えないということだ、とワンズモ。この管理ソフトは、初回利用時にパスワードを要求する。
今回のセキュリティーホールを発見した米インターネット・セキュリティー・システムズ(ISS)は、これはもっと重要な問題だと考えている。ISSは今回のセキュリティーホールのもつ危険性を厳しく評価し、より深刻な攻撃の足掛かりとなる可能性があるとしている。
「問題は非常に単純だ。レッドハットのバージョン6.2には、文書に記載されていないパスワードが組み込まれているのだ」というのはISSの研究チーム、エックスフォース(X-Force)の統括責任者のクリス・ローランド。
IISはこの問題を「バックドア」(裏口)――説明文書に記載されていない、コンピューターのコントロールを獲得する方法という意味――と呼んでいる。レッドハットは、この問題はごく普通の、説明文書に記載された機能のパスワード保護に関する欠陥だとして、この呼び方に異議を唱えている。
レッドハットはすでに、この問題の修正パッチを公開した。
この問題は、Linuxのような、オリジナルのプログラミング命令を誰でも見ることができるオープンソース・ソフトウェアの将来性と危険性との両方をよく示している。オープンソース方式では、そのソフトウェアを所有する企業が対処してくれるのを待たずに、多くの人々がコードを吟味してセキュリティーホールを探し修正することができる。一方で、悪意を持ったハッカーが、未発見のセキュリティーホールを探し出すおそれもある。
「われわれは、アプリケーションのソースをざっと眺めただけでこの問題を発見した」とローランド。
オープンソース支持者の主張するような仲間うちでの検討や議論にも利点はあるが、それはソフトウェアの安全性の証明にはならないと、ローランドは言う。例えば、電子メールソフトの『Sendmail』は20年にわたってオープンソース方式をとっているが、「毎年のようにセキュリティーホールが発見される」とローランド。
Linuxに一般的なもう一つのセキュリティー問題は、Linuxには数多くの人々が書いた数多くのパッケージがあり、それらはほとんど、あるいは全く品質管理がなされていないということだと、ローランドは言う。
しかしレッドハットは、この状況に何らかの秩序をもたらそうとしている。たとえば、同社はセキュリティー・メーリングリストにセキュリティー勧告を投稿するという伝統的なやり方をとっている。ローランドによると、レッドハットはセキュリティー問題に対して非常に敏感だ。
米マイクロソフトは、自社のWindows NTサーバー・ソフトウェアがインターネットに接続されたコンピューターで使われるようになってから2年半の間に、同じようにセキュリティーに対して敏感になったと、ローランドは言う。
「マイクロソフトはほとんど180度方向転換した」とローランド。「バグ修正を素早くリリースするようになった。Windowsがインターネットのように敵がたくさんいる環境で使われるようになったので、自分のセキュリティーを強化したのだ」
題名には必ず「阿修羅さんへ」と記述してください。