LinuxカーネルのeBPFに複数の深刻な脆弱性 PoC公開済みのため要注意：セキュリティニュースアラート

LinuxカーネルのeBPFに複数の脆弱性が見つかった。これらの脆弱性はDoS攻撃などに悪用される恐れがあり、早急なパッチ適用が必要とされる。既にPoCが公開され、攻撃者が脆弱性を悪用して攻撃を試みる可能性があるため要注意だ。

[後藤大地，有限会社オングス]

　「Linuxカーネル」のeBPF（Extended Berkeley Packet Filter）に複数の脆弱（ぜいじゃく）性が存在することが分かった。これらが悪用された場合、Linuxカーネル内で任意のコード実行やDoS攻撃が引き起こされる可能性がある。

　eBPFはLinuxカーネル内で安全かつ高効率にカスタムコードを実行できる仕組みで、カーネルの振る舞いを動的に変更、拡張するためのプラットフォームとして機能している。もともとパケットフィルタリングのために開発されたが、現在ではトレースや監視、ネットワーク制御、セキュリティなど幅広い用途に利用されている。eBPFプログラムはカーネル内の特定のイベント（システムコール、ネットワークパケット処理、スケジューラなど）にフックでき、ユーザースペースからロードされる。

LinuxカーネルのeBPFに複数の脆弱性　PoC公開済みのため急ぎ対処を

　脆弱性のCVE情報は以下の通りだ。

• CVE-2024-56614：　XSKMAPに関連する脆弱性。xsk_map_delete_elem関数内でユーザーが制御可能な符号付き整数が符号なし整数と比較される際、暗黙の型変換により境界チェックが回避される。その結果、負の値が配列インデックスとして使用され、範囲外アクセスが発生する。攻撃者はカーネルの制御フローを乗っ取り、カーネル特権で任意のコードを実行したり、DoS攻撃を引き起こしたりする可能性がある。共通脆弱性評価システム（CVSS）のスコア値7.8、深刻度「高」（High）と評価されている
• CVE-2024-56615：　DEVMAPに関連する脆弱性。dev_map_delete_elem関数内で同様の型変換の問題が存在し、範囲外アクセスやメモリ破損が生じる可能性がある。同じく任意のコード実行やDoS攻撃のリスクがあり、CVSSのスコア値7.8、深刻度「高」（High）と評価されている

　これらの脆弱性に対してそれぞれPoC（概念実証）も「GitHub」で公開されている。PoCは脆弱性の影響範囲を示し、セキュリティパッチの適用が必要であることを証明するコードとなっている。しかしPoCの公開により、攻撃者が脆弱性を悪用して攻撃を試みる可能性がある。

　影響を受けるのはLinuxカーネルバージョン4.18以降のeBPFを利用する環境とされている。既にパッチは提供されているため、影響を受けるシステム管理者および開発者には速やかに最新のカーネルバージョンへのアップデートが推奨される。