Linuxカーネルに判明した権限昇格の脆弱性 - 詳細やPoCが公開

Linuxカーネルにおいてパケットのフィルタリング機能を提供するコンポーネントに脆弱性が判明した問題で、脆弱性の詳細や実証コードが公開された。

コンポーネント「nf_tables」に解放後のメモリを使用するいわゆる「Use After Free」の脆弱性「CVE-2024-1086」に判明したもの。

ローカル環境において脆弱性を悪用すると権限の昇格が可能で、root権限を取得することが可能となる。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.8」、重要度は「高（High）」とレーティングされている。

米国立標準技術研究所（NIST）による脆弱性データベース「NVD」には、1月31日に登録されており、「JVN iPedia」にも2月7日に収録されているが、3月末に脆弱性を報告した研究者が詳細や実証コード（PoC）について公開した。

公開された実証コードは「バージョン5.14」以降、「6.6」までのLinux カーネルが稼働する主要なディストリビューションで動作するという。

リポジトリにおいて1月にパッチがリリースされており、1月末から2月にかけてリリースされた「同6.6.15」「同6.1.76」「同5.15.149」ではパッチが適用されているという。

（Security NEXT - 2024/04/03 ）ツイート