Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Linuxに権限昇格の脆弱性「Leeloo Multipath」が判明 - パッチの適用を

一般的なサーバ向けLinuxディストリビューションで利用されている常駐プログラム「multipathd」に権限昇格の脆弱性「Leeloo Multipath」が明らかとなった。緊急性はないものの、近く詳細が公表される予定となっており、パッチの適用が呼びかけられている。

「multipathd」は、パスのチェックを行い、障害が発生した場合に冗長性などを確保するデーモン。root権限で動作している。今回あらたに認証のバイパスが可能となる「CVE-2022-41974」、シンボリックリンク攻撃が可能となる「CVE-2022-41973」が判明した。

Qualysがアドバイザリを公開し、脆弱性を明らかにしたもので、1997年に公開されたSFアクション映画「フィフス・エレメント」で登場したアイテムになぞり、これら脆弱性を「Leeloo Multipath」と命名したという。

これらは同2017年、翌2018年の更新で生じた脆弱性で、現在公開を控えている別の脆弱性1件を組み合わせることで、root権限で任意のコマンドが実行可能となる。同社が作成したエクスプロイトにより、実際にデフォルトの「Ubuntu Server 22.04」においてroot権限を取得することに成功したという。

同社では8月以降、脆弱性の開示に向けてベンダーなどと協調しつつ、対応を進めてきたと説明。悪用には対象となるローカル環境へログインする必要があり、今回公表を差し控えている別の脆弱性も必要となるため、緊急に対応する必要はないとしている。

一方、組み合わせる別の脆弱性を悪用の流れについては、数週間以内にアドバイザリを公開する予定としており、通常のパッチマネジメントのライフサイクルの一貫として各ディストリビューションより提供されているパッケージをアップデートするよう呼びかけている。

(Security NEXT - 2022/10/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

Oracle、四半期定例パッチを公開 - 脆弱性386件に対応
サイトが改ざん被害、情報流出は否定 - 秋田県立医療療育センター
「WooCommerce」向けフィルタプラグインに脆弱性
食肉通販サイトが不正アクセス被害 - 顧客情報を外部送信
実証実験サービスのサーバに攻撃、一部従業員情報が流出 - リクルート
ブラウザ「Chrome」にアップデート - セキュ関連で10件の修正
CTFイベント「SECCON 13」、今秋に予選 - 決勝は2025年3月
民生委員が高齢者名簿を紛失、10カ月以上前に - 行田市
先週注目された記事(2024年7月7日〜2024年7月13日)
侵害調査で個人情報の一部流出を確認 - 住友重機械工業