5月19日、Gentoo Linuxが「Copy Fail, Dirty Frag, and Fragnesia kernel vulnerabilities – Gentoo Linux」と題した記事を公開した。この記事では、Linuxカーネルで相次いで発見されている特権昇格脆弱性への対応について詳しく紹介されている。以下に、その内容を紹介する。

相次ぐカーネル特権昇格脆弱性の発見

Linuxカーネルでは最近、Copy Fail、Dirty Frag、Fragnesiaといった一連の特権昇格脆弱性が相次いで発見されている。これらの脆弱性は同様の性質を持ち、攻撃者がシステム権限を取得する可能性がある深刻な問題だ。

注目すべき点は、これらの脆弱性発見が従来よりも高速化している傾向にあることだ。Gentoo側は「脆弱性が発見・開示される速度が以前より速くなっており、少なくとも短期的にはこの傾向が続く」と予想している。

Gentooの積極的なセキュリティ対応

GentooのLinux KernelチームとDistribution Kernelチームは、この状況に対して積極的な対応を取っている。具体的には以下の取り組みを行っている：

• 上流リリースの迅速なパッケージング: 最新のアップストリームリリースを可能な限り迅速にパッケージ化
• 追加修正の先行実装: 脆弱性修正や軽減策が利用可能になり次第、バックポートを実施

特にFragnesia脆弱性への対応では、上流のカーネルリリースがまだ脆弱性を抱えている段階で、Gentooカーネルには初日から修正が含まれている状況だ。記事公開時点で、サポートされているすべてのGentooカーネルには最新のFragnesia v5パッチが適用済みとなっている。

セキュリティサポート対象パッケージの重要性

Gentooは、セキュリティサポートの対象となるカーネルパッケージを明確に限定している。サポート対象は以下の3つのパッケージのみだ：

• sys-kernel/gentoo-kernel
• sys-kernel/gentoo-kernel-bin
• sys-kernel/gentoo-sources

一方で、バニラカーネルパッケージは現時点で脆弱性を抱えたままとなっている。その他のカーネルパッケージは修正を含む場合もあるが、更新が遅れる傾向があるという。

推奨されるセキュリティ対策

Gentooは利用者に対して、以下の対策を推奨している：

• 最新カーネルバージョンの実行（~archまたは最新安定版LTS）
• カーネル更新の自動化の検討

上流では古いバージョンへのセキュリティ修正のバックポートが確実に行われない場合があるため、最新バージョンの利用が特に重要だとしている。

今回の一連の脆弱性発見は、Linuxカーネルのセキュリティ状況が急速に変化していることを示している。Gentooのような積極的な対応を行うディストリビューションでも、継続的なアップデートが不可欠な状況となっている。

詳細はCopy Fail, Dirty Frag, and Fragnesia kernel vulnerabilities – Gentoo Linuxを参照していただきたい。