Ubuntuに権限昇格の脆弱性 - 詳細情報も公開

Ubuntuにデフォルトでインストールされている一部プログラムに権限昇格の脆弱性が明らかとなった。悪用方法の詳細についても明らかにされている。

Snapアプリケーションのパッケージ管理ツール「snapd」が使用し、root権限で動作する「snap-confine」の一部関数に競合状態を引き起こす脆弱性「CVE-2022-3328」が明らかとなったもの。

Ubuntuでは、共通脆弱性評価システム「CVSSv3.1」においてベーススコアを「7.8」、重要度を上から2番目にあたる「高（High）」と評価した。脆弱性の報告を受けて各ディストリビューションでは対応を進めている。

Qualysではアドバイザリを公開し、同脆弱性が明らかとなった経緯や詳細について明らかにした。

同社では「snap-confine」の脆弱性「CVE-2021-44731」を発見し、レビューした際にも、使用するディレクトリが悪用されることへの懸念があったという。

（Security NEXT - 2022/12/05 ） ツイート

PR

関連記事

データ管理システムで設定ミス、顧客情報が閲覧可能に - ピラティス専門店
システムやECサイトで攻撃検知、関連性は未確認 - タカラスタンダード
相談内容など2198件含む報告書をメールで誤送信 - 名古屋市
不正アクセスで医療従事者情報などが流出か - 富士フイルムメディカル
保管していた国勢調査関係書類が一部所在不明、検査過程で判明 - 福岡市
鹿児島県共生・協働センターのFacebookアカで不正投稿 - 不正な広告も
ランサム被害を確認、納品用ファイルは無事 - オムニバス・ジャパン
「LangChain」に深刻な脆弱性 - APIキー流出のおそれ
Fortraの特権アクセス管理製品「BoKS」に脆弱性 - アップデートで修正
NVIDIAのロボティクス基盤「Isaac Launchable」に深刻な脆弱性