FreeBSDにCVSSスコア10.0の脆弱性 現時点で回避策はないため直ちに更新を:セキュリティニュースアラート
FreeBSDプロジェクトはオープンソースのUNIX系OS「FreeBSD」にCVSSスコア10.0の脆弱性が存在すると報告した。これが悪用された場合、任意のコードが実行されてシステムが侵害される可能性がある。
FreeBSDプロジェクトは2024年9月4日(現地時間)、オープンソースのUNIX系OS「FreeBSD」の深刻な脆弱(ぜいじゃく)性「CVE-2024-43102」に関するセキュリティアドバイザリ「FreeBSD-SA-24:14.umtx」を公開した。これが悪用された場合、任意のコードが実行されてシステムが侵害される可能性がある。
FreeBSDはサーバやネットワーク機器、ストレージシステムなどで広く使用されている。高度なネットワーキング機能やセキュリティ、パフォーマンスに優れており、商用利用にも適した柔軟性を持つことでも知られている。
FreeBSDにCVSSスコア10.0の脆弱性 現時点で回避策はなし
CVE-2024-43102はFreeBSDの「_umtx_op(2)」システムコールの処理における問題に起因している。共通脆弱性評価システム(CVSS)V3.1のスコアは10.0で深刻度「緊急」(Critical)に分類されている。
具体的には「UMTX_SHM_DESTROY」サブリクエストを使用してマッピングを同時に削除することでオブジェクトの参照カウントが減少し、結果としてマッピングが早期に解放される点に問題があるとされている。これを悪用するとカーネルパニックが引き起こされる可能性があり、さらに「Use After Free」攻撃を介してコード実行や「Capsicum」サンドボックスをエスケープする可能性があると報告している。
影響を受けるFreeBSDのバージョンは以下の通りだ。
- FreeBSD 14-STABLE
- FreeBSD 14.1
- FreeBSD 14.0
- FreeBSD 13-STABLE
- FreeBSD 13.4
- FreeBSD 13.3
この脆弱性には、現時点で回避策はないとされている。システムを保護するために最新の安定版リリースにアップデートするか、バイナリーパッチまたはソースコードパッチを適用することが推奨されている。影響を受けるFreeBSDのバージョンを利用している場合には速やかに問題が修正されたバージョンにアップデートしてほしい。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
やっぱり安全を求めるなら「C」や「C++」ではなく「Rust」 Androidが取り組みを紹介
GoogleのAndroidチームはファームウェアのセキュリティを高めるためにメモリセーフなプログラミング言語であるRustの導入を紹介した。具体的にはどう活用しているのだろうか。
サイバー攻撃への対処はいくらかかる? 損害項目と金額をまとめてみた
ランサムウェア攻撃では多額の金銭的な損害が発生するが、具体的にどのくらいの金額なのか、と聞かれると答えに窮するだろう。この難しい問いに答える画期的なレポートの作成者たちに公開の背景や意図、具体的な損害額などを聞いた。
2要素認証の突破はもはや当たり前 “ここまでやるか”と思わせる攻撃者の最新手口
サイバー攻撃者たちの攻撃手法は日々巧妙化しています。何と最近、頼みの綱だった2要素認証ですら突破された事例まで報告されました。サイバー攻撃者は果たしてどのような手法を使ったのでしょうか。
半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。