Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Linuxに権限昇格の脆弱性「Leeloo Multipath」が判明 - パッチの適用を

一般的なサーバ向けLinuxディストリビューションで利用されている常駐プログラム「multipathd」に権限昇格の脆弱性「Leeloo Multipath」が明らかとなった。緊急性はないものの、近く詳細が公表される予定となっており、パッチの適用が呼びかけられている。

「multipathd」は、パスのチェックを行い、障害が発生した場合に冗長性などを確保するデーモン。root権限で動作している。今回あらたに認証のバイパスが可能となる「CVE-2022-41974」、シンボリックリンク攻撃が可能となる「CVE-2022-41973」が判明した。

Qualysがアドバイザリを公開し、脆弱性を明らかにしたもので、1997年に公開されたSFアクション映画「フィフス・エレメント」で登場したアイテムになぞり、これら脆弱性を「Leeloo Multipath」と命名したという。

これらは同2017年、翌2018年の更新で生じた脆弱性で、現在公開を控えている別の脆弱性1件を組み合わせることで、root権限で任意のコマンドが実行可能となる。同社が作成したエクスプロイトにより、実際にデフォルトの「Ubuntu Server 22.04」においてroot権限を取得することに成功したという。

同社では8月以降、脆弱性の開示に向けてベンダーなどと協調しつつ、対応を進めてきたと説明。悪用には対象となるローカル環境へログインする必要があり、今回公表を差し控えている別の脆弱性も必要となるため、緊急に対応する必要はないとしている。

一方、組み合わせる別の脆弱性を悪用の流れについては、数週間以内にアドバイザリを公開する予定としており、通常のパッチマネジメントのライフサイクルの一貫として各ディストリビューションより提供されているパッケージをアップデートするよう呼びかけている。

(Security NEXT - 2022/10/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Plesk」のXML API関連に複数の深刻な脆弱性
MS 365アカウントや学生団体サイトの侵害が判明 - 富山県立大
紛失を隠蔽するため文書を偽造、職員を処分 - 海老名市
プリンタ「HP DeskJet 2800シリーズ」に脆弱性 - 機密情報漏洩のおそれ
リモートアクセスツール「UltraVNC」に複数の脆弱性
「Dell PowerProtect Data Domain」に143件の脆弱性 - 修正版が公開
「ColdFusion」や「Langflow」の脆弱性悪用に注意喚起 - 米当局
学生情報含む書類を宿泊施設に置き忘れて紛失 - 新潟県
持込用学習端末のECサイトにサイバー攻撃 - 個人情報流出の可能性
農業従事者情報を含むデータを誤送信 - フィルタ解除で閲覧可能