Microsoftは4月26日(米国時間)、「Microsoft finds new elevation of privilege Linux vulnerability, Nimbuspwn - Microsoft Security Blog」において、Linuxに新しい特権昇格の脆弱性「Nimbuspwn」を発見したと伝えた。Nimbuspwnは、Linuxデスクトップのエンドポイントでrootへ特権昇格することができる複数の脆弱性の総称とされている。サイバー犯罪者はこの脆弱性を悪用してLinuxシステムにおいて特権昇格を行い、さまざまなサイバー攻撃を実施する危険性がある。

  • Microsoft finds new elevation of privilege Linux vulnerability、Nimbuspwn - Microsoft Security Blog

    Microsoft finds new elevation of privilege Linux vulnerability, Nimbuspwn - Microsoft Security Blog

MicrosoftはSystem Bus上のメッセージを分析し、networkd-dispatcherというsystemdユニットに問題があることを発見したという。発見された問題はディレクトリトラバーサル、シンボリックリンクの競合、time-of-check-time-of-useの競合など。これら脆弱性は「CVE-2022-29799」および「CVE-2022-29800」として特定されており、すでにnetworkd-dispatcherのメンテナへ報告されている。

Microsoftはnetworkd-dispatcherを使っているユーザーに対し、脆弱性が修正されたバージョンへアップデートすることを推奨している。利用しているソフトウェアは常に最新版へアップグレードし、既知のセキュリティ脆弱性のリスクを低減していくことが望まれる。