Linuxカーネルに重大な脆弱性 22
ストーリー by nagazou
脆弱性 部門より
脆弱性 部門より
The Hacker Newsは6日、Linuxカーネルに「StackRot」と呼ばれる重大な脆弱性が発見されたと報じた。この脆弱性はLinuxのバージョン6.1から6.4に影響を与える可能性があり、深刻度は重要(High)と評価されている。ただし、現時点ではこの脆弱性が悪用された形跡はないとのこと(The Hacker News、TECH+)。
このStackRotは「CVE-2023-3269」として追跡されているLinuxカーネルの脆弱性。セキュリティ研究者のRuihan Li氏によって発見されたこの脆弱性は特権昇格を可能にし、ほとんどのLinuxカーネル構成に影響を与える可能性がある。この脆弱性の影響を受けるLinuxカーネルに対しては7月1日からパッチが提供されている。
このStackRotは「CVE-2023-3269」として追跡されているLinuxカーネルの脆弱性。セキュリティ研究者のRuihan Li氏によって発見されたこの脆弱性は特権昇格を可能にし、ほとんどのLinuxカーネル構成に影響を与える可能性がある。この脆弱性の影響を受けるLinuxカーネルに対しては7月1日からパッチが提供されている。
7月1日からパッチが提供されているっていうか (スコア:3, 参考になる)
These patches were subsequently backported to stable kernels (6.1.37, 6.3.11, and 6.4.1)書いとるやんけ
6.1.37, 6.3.11, 6.4.1以降のカーネル使ってるなら解決済みである上に、203/07/20現在の最新版は6.4.4
おまけにrbtreeの代わりとして6.1から導入されたメイプルツリー データ構造の脆弱性なので、
6.1より前の5.15.120とか5.10.186とか5.4.249とか4.19.288とか4.14.320なんかを使ってる連中は無関係
Re: (スコア:0)
てか、6系カーネル使ってるとこってどこ?
Re: (スコア:0)
> uname -rs
Linux 6.3.12-200.fc38.x86_64
うちの Fedora は大丈夫そうだ。
Re: (スコア:0)
最新のDebian12は6.1だったと思う
Re: (スコア:0)
archは6.4.4
常に最新を突っ走っております
Re: (スコア:0)
あんま騒がれてないね。うぶん厨は中程度とか言ってるし。
Re: (スコア:0)
特権昇格などどうということはない、パスワード入力を迂回できてしまったりした某OSなんかに比べれば。
ということかもしれない。
Re: (スコア:0)
だって、Ubuntu 22.04 LTSだと5.15だし。
Re: (スコア:0)
むかしみたいに、同じOSの別ユーザーで共用レンタルサーバやってた時代なら問題になったかもね
いまの共用レンタルサーバは、ユーザーごとに別VMにわかれてるので、
別VMやハイパーバイザ・ホストOSに干渉できない脆弱性なら、低リスクと言えるでしょう
現時点では騒ぐような話じゃない (スコア:3, 参考になる)
- local exploit の権限昇格なので外部から攻撃される可能性はない
- 対象のカーネルバージョンが 6.1 (今年の1月18日)以降で実用している人は非常に少ない
- バグはあるけど実際に攻撃に使うのはかなり難易度が高い (カーネルのメモリ管理にある程度精通してないと手も足もでない)
みたいな状態なので、簡単に攻撃できるツールが出回ったりしない限り、まだ、あせるような状況ではない。
(新しいもの追っかけしていてる人は、攻撃ツールとか出て来るまでに新バージョンに上げるだろうし、実質被害は出ないじゃないかな?)
Re: (スコア:0)
debianのstableが6.1なんだが。
Re: (スコア:0)
で? 権限昇格はできたか?
どうせ debian の最新おかっけしてるようなやつは update するやろ。
# カーネルの脆弱性とかもっと簡単に使えるやつ含めて月に1つ以上は出てるのに
# 今回のだけ特別に騒ぐのは謎、みんなメモリ管理に詳しいのか?
# 本当に Maple Tree とか理解してるのか?
Re: (スコア:0)
最新おかっけ?
stableという言葉の意味を知らないようだな。
Re: (スコア:0)
Stableって古いって意味ですよね。
Re: (スコア:0)
そういえば、Debian12のリリース記事、無いね。
Re: (スコア:0)
stable って API/ABI に大きな変更を加えないという意味で、update 不要という意味じゃない。
stable でも同じ頻度、もしくは他以上に定期的な update が求められてるんだぞ。
testing とかは元々危険なので、危険が許容できる場所でしか使うべきじゃない
6月10日リリースの debian 12 を今の時点で使ってるようなら、普通に update するだろ。
Re: (スコア:0)
リリースされてるんだから、実用している人は相当数いますけどね。そして、debianのstableユーザは最新おかっけはしないっすけどね。
Re: (スコア:0)
stableで指定していれば自動的にアップグレードされるでしょ。
Re: (スコア:0)
騒ぐ事態になってからでは遅いんだが。
Re: (スコア:0)
exploit tool とか公開されたら、また評価が変わるかもしれんが、
現段階だと中の下くらいの位置づけで、このまま終わりそうな状況だろ。
慌てなくちゃいけないのは、当該バージョンを使用中で、身内にLinux Kernelのメモリ管理に超詳しい犯罪者がいる場合くらいだろ。
それ以外の人は時間がある時に余裕をもってアップデートしとけば良い。
この脆弱性以外にもカーネルの脆弱性やバグは色々あるので、定期的なアップデートはどうせ必須だ。
Re: (スコア:0)
一番メジャーなUbuntuだってもう6.2なわけで、意図的に古いものを使おうとしてる人でなければ、もう大抵6系カーネルを使ってるだろ。
邪悪なM$製品は危険(笑) (スコア:0)
OSSなら安心(爆笑)