アカウント名:
パスワード:
https://dirtypipe.cm4all.com/ [cm4all.com] にて、発見者の Max Kellermann 氏が詳細な報告をまとめてくれてます。
彼が最初に不具合を遭遇したのは、2021年の4月。彼は CM4all と言うホスティングサービスの保守を担当しており、2021年4月に顧客からファイル破損のレポートを受け取ったそうです。何かおかしいと感じた彼は、その後3ヶ月間で37ファイルが破損するなどファイルが頻繁に破損していることを突き止め、カーネルの不具合を疑いはじめます。
その後の試行錯誤を経て実証コードが完成したのが2022年02月19日。(技術的な詳細は割愛します。詳しくは彼の説明を読んでください)
これはセキュリティホールでもあると言うことで 、2月20日に Linux kernel security team にレポートを送り、2月21日にセキュリティホールの詳細は伏せて、LKMLに修正パッチを投稿、2月23日にバグ修正版のlinux-5.16.11 がリリースされています。実証コードがしっかりしているので、レポートが送られてからリリースまで話がとんとん拍子に進んでいます。
最初の不具合から約一年、地道な調査と修正パッチまで投稿してくれた Max Kellermann 氏の貢献はもっと多くの人に知られるべきです。興味がある人は是非 https://dirtypipe.cm4all.com/ [cm4all.com] で彼の報告を読みましょう。
また今回の不具合はセキュリティホールだけでなく、ファイルの破損を引き起こします。
ファイルが破損する条件も具体的に記載されていますので、気になる人はMax氏の報告に目を通しておくべきだと思います。
参考:20分で分かるDirty Pipe(CVE-2022-0847)https://knqyf263.hatenablog.com/entry/2022/03/11/105130 [hatenablog.com]
意図的に壊せる(改変できる)ってことは、偶発的に壊れる危険も当然あるわけか
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
Max Kellermann 氏に感謝 (スコア:5, 参考になる)
https://dirtypipe.cm4all.com/ [cm4all.com] にて、発見者の Max Kellermann 氏が詳細な報告をまとめてくれてます。
彼が最初に不具合を遭遇したのは、2021年の4月。
彼は CM4all と言うホスティングサービスの保守を担当しており、2021年4月に顧客からファイル破損のレポートを受け取ったそうです。
何かおかしいと感じた彼は、その後3ヶ月間で37ファイルが破損するなどファイルが頻繁に破損していることを突き止め、
カーネルの不具合を疑いはじめます。
その後の試行錯誤を経て実証コードが完成したのが2022年02月19日。(技術的な詳細は割愛します。詳しくは彼の説明を読んでください)
これはセキュリティホールでもあると言うことで 、2月20日に Linux kernel security team にレポートを送り、
2月21日にセキュリティホールの詳細は伏せて、LKMLに修正パッチを投稿、
2月23日にバグ修正版のlinux-5.16.11 がリリースされています。
実証コードがしっかりしているので、レポートが送られてからリリースまで話がとんとん拍子に進んでいます。
最初の不具合から約一年、地道な調査と修正パッチまで投稿してくれた Max Kellermann 氏の貢献はもっと多くの人に知られるべきです。
興味がある人は是非 https://dirtypipe.cm4all.com/ [cm4all.com] で彼の報告を読みましょう。
また今回の不具合はセキュリティホールだけでなく、ファイルの破損を引き起こします。
ファイルが破損する条件も具体的に記載されていますので、気になる人はMax氏の報告に目を通しておくべきだと思います。
Re:Max Kellermann 氏に感謝 (スコア:3, 参考になる)
参考:
20分で分かるDirty Pipe(CVE-2022-0847)
https://knqyf263.hatenablog.com/entry/2022/03/11/105130 [hatenablog.com]
Re: (スコア:0)
意図的に壊せる(改変できる)ってことは、偶発的に壊れる危険も当然あるわけか