x86_64版Linuxカーネルに権限昇格ができる脆弱性
2014年12月23日 12:20
hylom 曰く、 x86_64向けのすべてのバージョンのLinuxカーネルで権限昇格が可能になる脆弱性「CVE-2014-9322」が発見された(SecLists.Orgの記事)。
先日、Linuxカーネルをクラッシュさせることができる脆弱性「CVE-2014-9090」(JVNDB-2014-005708)が発見されたが、この脆弱性がシステムをクラッシュさせるだけでなく、権限昇格を引き起こすこともできるということが明らかになったもの。具体的にはIRET命令によって引き起こされる#SS faultのハンドリングが不適切で、それによって権限昇格が発生する。SMAPやUDEREFが有効になったシステムを除き、この脆弱性を悪用した権限昇格は簡単に実行できるという。
すでに各ベンダーがリリースしているCVE-2014-9090への対応パッチで問題は修正できるとのことで、未適用の場合は迅速に対応したい。
スラッシュドットのコメントを読む | Linuxセクション | Linux | セキュリティ
関連ストーリー:
Gitに深刻な脆弱性、緊急メンテナンスリリースが公開される 2014年12月20日
X11リリース当初から存在する脆弱性など、13件のCVEをX.Orgが公表 2014年12月13日
ISC BIND 9に脆弱性、外部からのDoSによって異常終了する可能性 2014年12月11日
米NSA局長曰く、発見した脆弱性のほとんどは公表している 2014年11月09日
wgetにシンボリックリンクの扱いに関する脆弱性 2014年10月31日
stringsコマンドに脆弱性 2014年10月31日
揺るがされるオープンソースセキュリティーの理想 2014年10月19日
GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に 2014年09月25日
FFmpegのLZO実装コードに脆弱性、20年前から存在 2014年07月02日
OpenSSLに新たな脆弱性が発見される 2014年06月06日
セキュリティ企業がStrutsの未修正の脆弱性情報とそのパッチを公開、議論になる 2014年04月24日
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日
1991年から存在していたX11のバグが発見される 2014年01月13日
Linux カーネルに権限昇格の脆弱性、広範囲に影響か 2013年05月20日