写真提供:マイナビニュース

写真拡大

Seclistsに2月22日(協定世界時)に掲載されたメール「oss-sec: Linux kernel: CVE-2017-6074: DCCP double-free vulnerability (local root)」が、10年以上にわたってLinuxカーネルに存在していたとされるダブルフリー脆弱性(CVE-2017-6074)について伝えた。この脆弱性に関する修正パッチは2016年2月17日(協定世界時)の段階で公開されており、今後、順次Linuxディストリビューションで修正されたカーネルが提供されていくものと見られる。

投函されたメールによると、この脆弱性は2006年9月のLinuxカーネルバージョン2.6.18にすでに存在しているという。脆弱性が発生したのはさらに前の段階で、DCCPサポートが追加された2005年10月のLinuxカーネル2.6.14の段階にさかのぼると見られるという指摘も掲載されている。

この脆弱性を悪用されると、特権を持っていないプロセスからカーネルコードが実行される危険性がある。さらに、同メールを投函したユーザーは数日中にこの脆弱性を攻撃する方法を公開するとしており、それまでにアップデートを実施することが推奨されている。

(後藤大地)