Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Linuxに権限昇格の脆弱性「Leeloo Multipath」が判明 - パッチの適用を

一般的なサーバ向けLinuxディストリビューションで利用されている常駐プログラム「multipathd」に権限昇格の脆弱性「Leeloo Multipath」が明らかとなった。緊急性はないものの、近く詳細が公表される予定となっており、パッチの適用が呼びかけられている。

「multipathd」は、パスのチェックを行い、障害が発生した場合に冗長性などを確保するデーモン。root権限で動作している。今回あらたに認証のバイパスが可能となる「CVE-2022-41974」、シンボリックリンク攻撃が可能となる「CVE-2022-41973」が判明した。

Qualysがアドバイザリを公開し、脆弱性を明らかにしたもので、1997年に公開されたSFアクション映画「フィフス・エレメント」で登場したアイテムになぞり、これら脆弱性を「Leeloo Multipath」と命名したという。

これらは同2017年、翌2018年の更新で生じた脆弱性で、現在公開を控えている別の脆弱性1件を組み合わせることで、root権限で任意のコマンドが実行可能となる。同社が作成したエクスプロイトにより、実際にデフォルトの「Ubuntu Server 22.04」においてroot権限を取得することに成功したという。

同社では8月以降、脆弱性の開示に向けてベンダーなどと協調しつつ、対応を進めてきたと説明。悪用には対象となるローカル環境へログインする必要があり、今回公表を差し控えている別の脆弱性も必要となるため、緊急に対応する必要はないとしている。

一方、組み合わせる別の脆弱性を悪用の流れについては、数週間以内にアドバイザリを公開する予定としており、通常のパッチマネジメントのライフサイクルの一貫として各ディストリビューションより提供されているパッケージをアップデートするよう呼びかけている。

(Security NEXT - 2022/10/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Firefox 124.0.1」が公開、深刻な脆弱性2件を解消
認定農業者に調査票を誤送付、名簿の宛名と住所にずれ - 三重県
海外グループ会社の元従業員が個人情報を不正持出 - クラレ
個人情報や生産データが流出した可能性 - JVCケンウッド
日立製ディスクアレイシステム「Hitachi VSP」に平文PWをログ保存する脆弱性
JVNで6製品の使用中止を呼びかけ - 脆弱性見つかるも開発者と連絡不能
バッファローのNAS製品にMITM攻撃でコード実行のおそれ
米当局、脆弱性3件の悪用に注意喚起 - FortinetやIvantiの製品が標的に
USB紛失で町長ら減給、不正利用判明すれば再度処分を検討 - 佐久穂町
小規模事業者持続化補助金の事務局がランサム被害