お知らせ
米ミネソタ大学より Linux カーネルコミュニティに投稿されたパッチの脆弱性による影響について
続報:2021 年 5 月 26 日
初報:2021 年 4 月 23 日
2021 年 5 月 26 日 続報
米ミネソタ大学が Linux カーネルコミュニティへ投稿したパッチの再レビューについて、素性を偽って投稿されたパッチを含むミネソタ大学からの 453 のコミットがレビューされました。 結果として、Linux Foundation の Technical Advisory Board (TAB) はミネソタ大学からの投稿された脆弱なパッチは取り込まれていないと報告しました。 https://lore.kernel.org/lkml/202105051005.49BFABCE@keescook/
当社製品への影響
当社製品が含む Linux カーネル には本事件に関係する脆弱性は含まれていないと判断しました。
2021 年 4 月 23 日 初報
2021 年 4 月 21 日、The Linux Foundation フェローの Greg Kroah-Hartman 氏が Linux カーネルのコミュニティにおいて、米ミネソタ大学からの今後の貢献の受け入れ拒否を宣言し、さらにこれに関連して過去にミネソタ大学から投稿されたパッチのコミットの再評価が始まっています。
サイバートラストは当社製品が含む Linux カーネルに実際に脆弱性が存在するのか、カーネルのアップストリームコミュニティの動向を把握し、対応要否について調査を行っております。
以下で随時情報を更新します。
関連 Web サイト
米ミネソタ大学が Linux カーネルコミュニティへ投稿したパッチの脆弱性について:
https://www.miraclelinux.com/support/linux_kernel_on_purpose_vulnerability_patch_and_revertion
オープンソースソフトウェアへのサプライチェーン攻撃はすでに行われているのか?:
https://www.miraclelinux.com/tech-blog/oss_supply_chain_attack
※ 本記事に記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。