パスワードを忘れた? アカウント作成
16698604 story
OS

Linuxカーネルに重大な脆弱性 22

ストーリー by nagazou
脆弱性 部門より
The Hacker Newsは6日、Linuxカーネルに「StackRot」と呼ばれる重大な脆弱性が発見されたと報じた。この脆弱性はLinuxのバージョン6.1から6.4に影響を与える可能性があり、深刻度は重要(High)と評価されている。ただし、現時点ではこの脆弱性が悪用された形跡はないとのこと(The Hacker NewsTECH+)。

このStackRotは「CVE-2023-3269」として追跡されているLinuxカーネルの脆弱性。セキュリティ研究者のRuihan Li氏によって発見されたこの脆弱性は特権昇格を可能にし、ほとんどのLinuxカーネル構成に影響を与える可能性がある。この脆弱性の影響を受けるLinuxカーネルに対しては7月1日からパッチが提供されている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年07月20日 13時53分 (#4497934)

    These patches were subsequently backported to stable kernels (6.1.37, 6.3.11, and 6.4.1)書いとるやんけ

    6.1.37, 6.3.11, 6.4.1以降のカーネル使ってるなら解決済みである上に、203/07/20現在の最新版は6.4.4

    おまけにrbtreeの代わりとして6.1から導入されたメイプルツリー データ構造の脆弱性なので、
    6.1より前の5.15.120とか5.10.186とか5.4.249とか4.19.288とか4.14.320なんかを使ってる連中は無関係

    • by Anonymous Coward

      てか、6系カーネル使ってるとこってどこ?

      • by Anonymous Coward

        > uname -rs
        Linux 6.3.12-200.fc38.x86_64
        うちの Fedora は大丈夫そうだ。

      • by Anonymous Coward

        最新のDebian12は6.1だったと思う

      • by Anonymous Coward

        archは6.4.4
        常に最新を突っ走っております

    • by Anonymous Coward

      あんま騒がれてないね。うぶん厨は中程度とか言ってるし。

      • by Anonymous Coward

        特権昇格などどうということはない、パスワード入力を迂回できてしまったりした某OSなんかに比べれば。

        ということかもしれない。

      • by Anonymous Coward

        だって、Ubuntu 22.04 LTSだと5.15だし。

      • by Anonymous Coward

        むかしみたいに、同じOSの別ユーザーで共用レンタルサーバやってた時代なら問題になったかもね

        いまの共用レンタルサーバは、ユーザーごとに別VMにわかれてるので、
        別VMやハイパーバイザ・ホストOSに干渉できない脆弱性なら、低リスクと言えるでしょう

  • by Anonymous Coward on 2023年07月20日 15時55分 (#4498001)

    - local exploit の権限昇格なので外部から攻撃される可能性はない
    - 対象のカーネルバージョンが 6.1 (今年の1月18日)以降で実用している人は非常に少ない
    - バグはあるけど実際に攻撃に使うのはかなり難易度が高い (カーネルのメモリ管理にある程度精通してないと手も足もでない)

    みたいな状態なので、簡単に攻撃できるツールが出回ったりしない限り、まだ、あせるような状況ではない。
    (新しいもの追っかけしていてる人は、攻撃ツールとか出て来るまでに新バージョンに上げるだろうし、実質被害は出ないじゃないかな?)

    • by Anonymous Coward

      debianのstableが6.1なんだが。

      • by Anonymous Coward

        で? 権限昇格はできたか?
        どうせ debian の最新おかっけしてるようなやつは update するやろ。

        # カーネルの脆弱性とかもっと簡単に使えるやつ含めて月に1つ以上は出てるのに
        # 今回のだけ特別に騒ぐのは謎、みんなメモリ管理に詳しいのか?
        # 本当に Maple Tree とか理解してるのか?

        • by Anonymous Coward

          最新おかっけ?
          stableという言葉の意味を知らないようだな。

          • by Anonymous Coward

            Stableって古いって意味ですよね。

            • by Anonymous Coward

              そういえば、Debian12のリリース記事、無いね。

          • by Anonymous Coward

            stable って API/ABI に大きな変更を加えないという意味で、update 不要という意味じゃない。
            stable でも同じ頻度、もしくは他以上に定期的な update が求められてるんだぞ。
            testing とかは元々危険なので、危険が許容できる場所でしか使うべきじゃない

            6月10日リリースの debian 12 を今の時点で使ってるようなら、普通に update するだろ。

            • by Anonymous Coward

              リリースされてるんだから、実用している人は相当数いますけどね。そして、debianのstableユーザは最新おかっけはしないっすけどね。

              • by Anonymous Coward

                stableで指定していれば自動的にアップグレードされるでしょ。

    • by Anonymous Coward

      騒ぐ事態になってからでは遅いんだが。

      • by Anonymous Coward

        exploit tool とか公開されたら、また評価が変わるかもしれんが、
        現段階だと中の下くらいの位置づけで、このまま終わりそうな状況だろ。
        慌てなくちゃいけないのは、当該バージョンを使用中で、身内にLinux Kernelのメモリ管理に超詳しい犯罪者がいる場合くらいだろ。

        それ以外の人は時間がある時に余裕をもってアップデートしとけば良い。
        この脆弱性以外にもカーネルの脆弱性やバグは色々あるので、定期的なアップデートはどうせ必須だ。

    • by Anonymous Coward

      一番メジャーなUbuntuだってもう6.2なわけで、意図的に古いものを使おうとしてる人でなければ、もう大抵6系カーネルを使ってるだろ。

  • by Anonymous Coward on 2023年07月20日 15時06分 (#4497979)

    OSSなら安心(爆笑)

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...