写真提供:マイナビニュース

写真拡大

セキュリティ分野の研究者であるPhil Oester氏は10月22日(米国時間)、「VulnerabilityDetails|dirtycow/dirtycow.github.io|GitHub」においてLinuxカーネルに特権昇格が可能な脆弱性が存在すると伝えた。2007年にリリースされたLinuxカーネル2.6.22以降すべてのバージョンにこの脆弱性が存在するとされており、かなり広範囲に渡って影響があることになり注意が必要。

カーネルではコピー・オン・ライト(CoW; Copy-on-Write)の仕組みがよく使われるが、コピー・オン・ライトを扱っているLinuxカーネルのメモリサブシステムにロジック上のバグが存在していると指摘。特権を持っていないユーザーがrootに昇格する処理に利用できるとしている。この脆弱性を悪用すると、ログイン可能なユーザーは数秒でroot権限を取得することができる。すでにセキュリティパッチの提供などが始まっていることから、早期にアップデートを適用することが望まれる。

なお、この脆弱性は仮想環境を越えることはないとされており、ゲストオペレーティングシステムとして動作しているLinuxカーネルがホストのLinuxカーネルに対して影響を及ぼす可能性はないと思われる。また、ユーザーとして一度ログインする必要があることから、ログインすることなく攻撃可能な脆弱性と比較すると危険性は低いとされている。

(後藤大地)