Linuxに権限昇格の脆弱性「Leeloo Multipath」が判明 - パッチの適用を
一般的なサーバ向けLinuxディストリビューションで利用されている常駐プログラム「multipathd」に権限昇格の脆弱性「Leeloo Multipath」が明らかとなった。緊急性はないものの、近く詳細が公表される予定となっており、パッチの適用が呼びかけられている。
「multipathd」は、パスのチェックを行い、障害が発生した場合に冗長性などを確保するデーモン。root権限で動作している。今回あらたに認証のバイパスが可能となる「CVE-2022-41974」、シンボリックリンク攻撃が可能となる「CVE-2022-41973」が判明した。
Qualysがアドバイザリを公開し、脆弱性を明らかにしたもので、1997年に公開されたSFアクション映画「フィフス・エレメント」で登場したアイテムになぞり、これら脆弱性を「Leeloo Multipath」と命名したという。
これらは同2017年、翌2018年の更新で生じた脆弱性で、現在公開を控えている別の脆弱性1件を組み合わせることで、root権限で任意のコマンドが実行可能となる。同社が作成したエクスプロイトにより、実際にデフォルトの「Ubuntu Server 22.04」においてroot権限を取得することに成功したという。
同社では8月以降、脆弱性の開示に向けてベンダーなどと協調しつつ、対応を進めてきたと説明。悪用には対象となるローカル環境へログインする必要があり、今回公表を差し控えている別の脆弱性も必要となるため、緊急に対応する必要はないとしている。
一方、組み合わせる別の脆弱性を悪用の流れについては、数週間以内にアドバイザリを公開する予定としており、通常のパッチマネジメントのライフサイクルの一貫として各ディストリビューションより提供されているパッケージをアップデートするよう呼びかけている。
(Security NEXT - 2022/10/28 )
ツイート
PR
関連記事
「SolarWinds Serv-U」にDoS脆弱性、悪用も - 米当局が注意喚起
先週注目された記事(2026年5月31日〜2026年6月6日)
送信メールの添付ファイル保管サーバが侵害 - 石川のSIer
サーバに不正アクセス、侵害経路や影響を調査 - ソディック
役場でPC盗難、盗難防止ワイヤーが切断 - 大郷町
卒業生宛の「進路だより」でメール誤送信 - 新潟県
クラウド侵害で個人情報流出か、未発売のゲームデータも - ビジュアルアーツ
脆弱性「Dirty Frag」が製品に与える影響を調査 - Fortinet
「Cisco Catalyst SD-WAN Manager」にゼロデイ脆弱性 - 悪用も確認
「Progress Kemp LoadMaster」にRCE脆弱性 - WAF回避のおそれも
