Red Hatは3月7日(米国時間)、「Red Hat Customer Portal - CVE-2022-0847」において、Linuxカーネルに特権昇格につながる脆弱性が存在すると伝えた。この脆弱性は任意の読み取り専用ファイルにデータを上書きすることを可能にするものであり、この挙動を悪用することで非特権プロセスがルートプロセスにコードを注入して特権昇格が行えるようになるとされている。
脆弱性の詳細については次のページに説明がまとまっている。
-
The Dirty Pipe Vulnerability — The Dirty Pipe Vulnerability documentation
脆弱性が存在するとされる対象は次のとおり。
- Linuxカーネル 5.8以降のバージョン
脆弱性が修正されたバージョンは次のとおり。
- Linux 5.16.11
- Linux 5.15.25
- Linux 5.10.102
脆弱性の内容は、2016年に公開された「CVE-2016-5195」によく似ている。しかし、今回明らかになったCVE-2022-0847のほうが悪用が簡単と評価されており注意が必要。脆弱性の深刻度はCVSSv3スコア7.8で「重要」と分析されている。該当するプロダクトを使用している場合は、脆弱性が修正されたバージョンへアップデートすることが望まれる。
マイクロソフトがWindows10をWindows 11にアップグレードするメリット説明
