X.Org Serverに特権昇格の脆弱性 Linuxユーザーは要注意:セキュリティニュースアラート
X.Org Serverの脆弱性「CVE-2024-9632」が米国NVDに登録された。この脆弱性を悪用すると、DoS攻撃や特権昇格を実行できる可能性がある。X.Org ServerはLinuxユーザーに広く利用されているため早急に対処したい。
米国立標準技術研究所(NIST)は2024年10月30日(現地時間)、「X.Org Server」の脆弱(ぜいじゃく)性を同機関が管理している脆弱性情報データベース(NVD)に登録した。この脆弱性は「CVE-2024-9632」として特定されている。
X.Org Serverは「Linux」向けのディスプレイサーバだ。GUIアプリケーションにとっては必要不可欠であり、広く採用されている。
X.Org Serverに重要な脆弱性、対象製品と対策の確認を
CVE-2024-9632は、「_XkbSetCompatMap」において不適切なサイズ割り当てが実施されたことに起因している。この脆弱性が悪用された場合、X.Org Serverがroot権限で実行されているディストリビューションにおいてDoS攻撃やローカル特権昇格が引き起こされるリスクがある。
脆弱性情報データベース(CVE)の割り当てはRed Hatが実施しており、共通脆弱性評価システム(CVSS)v3.1のスコア値は7.8で深刻度「重要」(High)に分類されている。
Red Hat製品の場合、次の製品が影響を受ける。
- Red Hat Enterprise Linux for x86_64 8 x86_64
- Red Hat Enterprise Linux for IBM z Systems 8 s390x
- Red Hat Enterprise Linux for Power, little endian 8 ppc64le
- Red Hat Enterprise Linux for ARM 64 8 aarch64
- Red Hat CodeReady Linux Builder for x86_64 8 x86_64
- Red Hat CodeReady Linux Builder for Power, little endian 8 ppc64le
- Red Hat CodeReady Linux Builder for ARM 64 8 aarch64
- Red Hat CodeReady Linux Builder for IBM z Systems 8 s390x
コンポーネントとしては「xorg-x11-server」「xorg-x11-server-Xwayland」「tigervnc」が影響を受ける。
パッケージやコンポーネントのアップデートについてはそれぞれのベンダーやディストリビューションから発表される情報に従って対応することが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
サポート切れが迫るのはWin10だけじゃない? 注意しておきたいもう一つのリミット
ついにWindows 10のサポート終了まで1年を切りました。さまざまな事情があるかとは思いますが、セキュリティ的にもOSのアップグレードは必須でしょう。これに加えてもう一つ、無視できない“サポート終了”の期限が迫っているようです。
イセトーのランサムウェア被害、感染経路はVPN 調査結果で明らかに
イセトーは2024年5月26日に発生したランサムウェア被害について、外部専門家によるフォレンジック調査の結果を公開した。それによると、ランサムウェアの感染経路はVPNであることが明らかになった。
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。
企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。