Ubuntu

fossBytesに5月16日(米国時間)に掲載された記事「Ubuntu Login Screen Security Flaw Could Allow Anyone To Access Your Files」が、Ubuntu 16.10およびUbuntu 17.04のLightDMディスプレイマネージャにバグがあり、ゲストセッションを悪用することにより、適切なユーザーでログインすることなくシステム上のファイルにアクセスできる脆弱性が存在すると伝えた(本稿執筆時点、記事ではUbuntu 17.10と表記されているが、これはUbuntu 17.04の誤り)。

この脆弱性はUbuntu 16.10から存在するたため、これよりも前のバージョンには存在しないとされている。Ubuntu 16.10の段階でユーザーセッション管理の処理がupstartからsystemdに移行したが、この段階でバグが混入したとしている。すでにセキュリティパッチが提供されていることから、該当するプロダクトを使用している場合は迅速にアップデートを適用することが望まれる。

脆弱性が存在しているかどうかは、ゲストセッションでログインし、Ctrl-Alt-Tを押してターミナルを起動し、このターミナルで「cat /proc/self/attr/current」のコマンドを実行してみればよいとのこと。本来であれば、このコマンドの実行結果は「/usr/lib/lightdm/lightdm-guest-session (enforce)」となるはずだが、出力結果がunconfinedと表示された場合、バグがあることになる。