アメリカ国立標準技術研究所(NIST: National Institute of Standards and Technology)は2月24日(米国時間)、「NVD - CVE-2022-25636」において、Linuxカーネルに「特権昇格」の脆弱性が存在すると伝えた。この脆弱性を悪用されると、ローカルの攻撃者が特権昇格を行うことができる危険性があるとされている。
この脆弱性に関する詳細情報が3月12日(米国時間)、「The Discovery and Exploitation of CVE-2022-25636 · Nick Gregory」として公開された。CVE-2022-25636を発見した研究者による説明であり、どのような仕組みで特権昇格が行われるかが説明されている。
-
The Discovery and Exploitation of CVE-2022-25636 · Nick Gregory
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Linuxカーネル 5.4から5.6.10までのバージョン
脆弱性のCVSSv3スコアは「7.8」で深刻度は重要(High)に分類されており注意が必要。ベンダーの提供するセキュリティ情報を確認するとともに、必要に応じてアップデートや緩和策を適用することが望まれる。
