SecLists.Org Security Mailing List

oss-sec: Linux kernel: multiple x86_64 vulnerabilities」において、すべてのバージョンのLinuxカーネルに特権昇格の脆弱性があることがアナウンスされた。CVE-2014-9090に対するパッチを適用していないLinuxカーネルには、IRETインストラクションによって引き起こされる#SSフォールトのハンドリングの不備によって特権昇格が実施される危険性があるという。

この脆弱性を悪用されると、一般ユーザが特権ユーザでの実行権限を簡単に得ることができる。SMAPまたはUDEREFが有効になったシステムでは仮にこの脆弱性が悪用されたとしても、影響はシステムのクラッシュまたは再起動といったレベルに抑えられ、特権昇格などには至らないだろうと見られている。

この脆弱性は一般ユーザが特権ユーザとしてコードを実行できてしまうため、影響範囲はかなり広いと推定される。各種LinuxベンダやLinux関連のプロジェクトが提供している情報に注視するとともに、セキュリティ修正パッチやアップグレードが提供された場合には迅速に適用することが推奨される。