Linuxに権限昇格の脆弱性、エクスプロイトも出回る
悪用された場合、ローカルユーザーが細工を施したシステムコールを使って権限を取得できてしまう恐れがある。
» 2013年05月16日 06時46分 公開
[鈴木聖子,ITmedia]
Linuxに権限昇格の脆弱性が見つかったとして、米国立標準技術研究所(NIST)が脆弱性情報を公開した。米セキュリティ機関のSANS Internet Storm Centerによれば、既にこの脆弱性を突くエクスプロイトコードも出回っているという。
NISTが5月14日に公開したセキュリティ情報によると、脆弱性はLinuxカーネルの「kernel/events/core.c」における「perf_swevent_init」機能に不適切な整数値が使われていることに起因する。影響を受けるのは3.8.9までのLinuxカーネル。この問題を利用すると、ローカルユーザーが細工を施したperf_event_openシステムコールを使って権限を取得できてしまう恐れがあるという。
危険度は共通指標のCVSSベーススコアで「高」を意味する7.2(最高値は10.0)と評価している。
SANSによれば、脆弱性はカーネルをPERF_EVENTSでコンパイルした場合に発生する。これは相当数のLinuxディストリビューションに当てはまるようだとSANSは伝えている。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- SharePointのダウンロードイベントログを回避する2つの手法が見つかる
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
- キヤノンがグローバル330社の経営管理基盤を構築 連結決算を合理化した方法は?
- AI導入はカンタン? 調査からセキュリティ専門家たちがナメている可能性があると判明
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「テクノロジー乱立問題」に立ち向かう 自社標準を決める“とってもシンプルな方法”とは?
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
ITmediaはアイティメディア株式会社の登録商標です。