Linuxカーネルに判明した権限昇格の脆弱性 - 詳細やPoCが公開
Linuxカーネルにおいてパケットのフィルタリング機能を提供するコンポーネントに脆弱性が判明した問題で、脆弱性の詳細や実証コードが公開された。
コンポーネント「nf_tables」に解放後のメモリを使用するいわゆる「Use After Free」の脆弱性「CVE-2024-1086」に判明したもの。
ローカル環境において脆弱性を悪用すると権限の昇格が可能で、root権限を取得することが可能となる。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.8」、重要度は「高(High)」とレーティングされている。
米国立標準技術研究所(NIST)による脆弱性データベース「NVD」には、1月31日に登録されており、「JVN iPedia」にも2月7日に収録されているが、3月末に脆弱性を報告した研究者が詳細や実証コード(PoC)について公開した。
公開された実証コードは「バージョン5.14」以降、「6.6」までのLinux カーネルが稼働する主要なディストリビューションで動作するという。
リポジトリにおいて1月にパッチがリリースされており、1月末から2月にかけてリリースされた「同6.6.15」「同6.1.76」「同5.15.149」ではパッチが適用されているという。
(Security NEXT - 2024/04/03 )
ツイート
PR
関連記事
GitLab、クリティカルパッチを公開 - 脆弱性17件に対応
土地改良区一覧表に個人情報、サイトに誤掲載 - 茨城県
「TSUBAME」の観測グラフを公開休止 - より利便性の高いデータ提供を検討
顧客情報含むUSBメモリが電車内で盗難 - トヨタホーム東京
サイバー攻撃被害が判明、影響範囲など調査 - 異物検査機メーカー
動画配信サービス「Hulu」にPWリスト攻撃 - 強制リセット実施
「Spring Framework」にパストラバーサルの脆弱性
「Spring Framework」に複数のDoS脆弱性 - アップデートで修正
「Apache OFBiz」に複数の脆弱性 - アップデートで修正
Ruby環境向け「SAMLライブラリ」に深刻な脆弱性