Linuxに権限昇格の脆弱性「Leeloo Multipath」が判明 - パッチの適用を
一般的なサーバ向けLinuxディストリビューションで利用されている常駐プログラム「multipathd」に権限昇格の脆弱性「Leeloo Multipath」が明らかとなった。緊急性はないものの、近く詳細が公表される予定となっており、パッチの適用が呼びかけられている。
「multipathd」は、パスのチェックを行い、障害が発生した場合に冗長性などを確保するデーモン。root権限で動作している。今回あらたに認証のバイパスが可能となる「CVE-2022-41974」、シンボリックリンク攻撃が可能となる「CVE-2022-41973」が判明した。
Qualysがアドバイザリを公開し、脆弱性を明らかにしたもので、1997年に公開されたSFアクション映画「フィフス・エレメント」で登場したアイテムになぞり、これら脆弱性を「Leeloo Multipath」と命名したという。
これらは同2017年、翌2018年の更新で生じた脆弱性で、現在公開を控えている別の脆弱性1件を組み合わせることで、root権限で任意のコマンドが実行可能となる。同社が作成したエクスプロイトにより、実際にデフォルトの「Ubuntu Server 22.04」においてroot権限を取得することに成功したという。
同社では8月以降、脆弱性の開示に向けてベンダーなどと協調しつつ、対応を進めてきたと説明。悪用には対象となるローカル環境へログインする必要があり、今回公表を差し控えている別の脆弱性も必要となるため、緊急に対応する必要はないとしている。
一方、組み合わせる別の脆弱性を悪用の流れについては、数週間以内にアドバイザリを公開する予定としており、通常のパッチマネジメントのライフサイクルの一貫として各ディストリビューションより提供されているパッケージをアップデートするよう呼びかけている。
(Security NEXT - 2022/10/28 )
ツイート
PR
関連記事
児童の写真データ含む記憶媒体を紛失、返却し忘れ帰宅 - 川崎市
顧客に予約確認装うフィッシングメッセージ届く - 新横浜グレイスホテル
個人情報含む選挙関連の事務用文書を誤送付 - 大阪市住之江区選管
サーバがランサム感染、詳細は調査中 - 引抜鋼管メーカー
米子会社2社でランサム被害、従業員情報流出か - ハリマ化成グループ
非常勤講師が個人情報含む私物PCを置き忘れて紛失 - 札幌医科大
ランサム被害でファイル暗号化、影響など調査 - フィーチャ
「VMware vSphere」環境狙う「BRICKSTORM」に新亜種 - 米加当局が注意喚起
AIアシスタント「Nanobot」のWhatsApp連携コンポーネントに深刻な脆弱性
衆院選の選挙人名簿照合用データ含むメディア5枚を紛失 - 狛江市
