FreeBSDにCVSSスコア10.0の脆弱性 現時点で回避策はないため直ちに更新を：セキュリティニュースアラート

FreeBSDプロジェクトはオープンソースのUNIX系OS「FreeBSD」にCVSSスコア10.0の脆弱性が存在すると報告した。これが悪用された場合、任意のコードが実行されてシステムが侵害される可能性がある。

[後藤大地，有限会社オングス]

　FreeBSDプロジェクトは2024年9月4日（現地時間）、オープンソースのUNIX系OS「FreeBSD」の深刻な脆弱（ぜいじゃく）性「CVE-2024-43102」に関するセキュリティアドバイザリ「FreeBSD-SA-24:14.umtx」を公開した。これが悪用された場合、任意のコードが実行されてシステムが侵害される可能性がある。

　FreeBSDはサーバやネットワーク機器、ストレージシステムなどで広く使用されている。高度なネットワーキング機能やセキュリティ、パフォーマンスに優れており、商用利用にも適した柔軟性を持つことでも知られている。

FreeBSDにCVSSスコア10.0の脆弱性　現時点で回避策はなし

　CVE-2024-43102はFreeBSDの「_umtx_op（2）」システムコールの処理における問題に起因している。共通脆弱性評価システム（CVSS）V3.1のスコアは10.0で深刻度「緊急」（Critical）に分類されている。

　具体的には「UMTX_SHM_DESTROY」サブリクエストを使用してマッピングを同時に削除することでオブジェクトの参照カウントが減少し、結果としてマッピングが早期に解放される点に問題があるとされている。これを悪用するとカーネルパニックが引き起こされる可能性があり、さらに「Use After Free」攻撃を介してコード実行や「Capsicum」サンドボックスをエスケープする可能性があると報告している。

　影響を受けるFreeBSDのバージョンは以下の通りだ。

• FreeBSD 14-STABLE
• FreeBSD 14.1
• FreeBSD 14.0
• FreeBSD 13-STABLE
• FreeBSD 13.4
• FreeBSD 13.3

　この脆弱性には、現時点で回避策はないとされている。システムを保護するために最新の安定版リリースにアップデートするか、バイナリーパッチまたはソースコードパッチを適用することが推奨されている。影響を受けるFreeBSDのバージョンを利用している場合には速やかに問題が修正されたバージョンにアップデートしてほしい。