サイバーディフェンス社からの情報によると、複数のLinuxベンダが実装しているLinux ProjectのLinuxカーネル2.4.xおよび2.6.xに、ローカルで攻撃可能な脆弱性が見つかった。これは設計上の欠陥である。この脆弱性はELFライブラリをロードするコード部分に存在する。これによりroot権限が盗まれ、任意のコードが実行される可能性がある。この脆弱性は、特にload_elf_library()関数がメモリを管理する関数を呼び出す方法に存在する。初期ファイルが割り当てられている間はセマフォは有効であるが、BSSセグメントのメモリが確保される前に解放される。セマフォが無効となるため、権限引き上げの方法と同じように、呼び出し側のメモリレイアウトが変更される可能性がある。※この情報は株式会社サイバーディフェンス ( http://www.cyberd.co.jp/ )より提供いただいております。 サイバーディフェンス社の CyberNoticeBasic サービスの詳細については 下記のアドレスまでお問い合せください。 問い合わせ先: scan@ns-research.jp 情報の内容は以下の時点におけるものです 【21:34 GMT、2、27、2005】
