米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は3月10日(米国時間)、「Dirty Pipe Privilege Escalation Vulnerability in Linux|CISA」において、Linuxカーネルに特権昇格の脆弱性が存在すると伝えた。この脆弱性を悪用されると、システムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページからたどることができる。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Linuxカーネル 5.8以降のバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Linux 5.16.11
- Linux 5.15.25
- Linux 5.10.102
この脆弱性(CVE-2022-0847)は「Dirty Pipe」という別名でも呼ばれており、詳しい説明が「The Dirty Pipe Vulnerability — The Dirty Pipe Vulnerability documentation」に掲載されている(参考「Linuxカーネルに特権昇格の脆弱性、アップデートを | TECH+」)。
この脆弱性について注意すべきは、比較的簡単に悪用できると評価されている点。CISAは、上記のセキュリティ情報をチェックするとともに、アップデートを適用することを推奨している。