サイバーディフェンス社からの情報によると、複数のLinuxベンダが実装しているKernel.Org Organization社のLinuxカーネル2.4.xおよび2.6.xに、ローカルで攻撃可能な脆弱性が見つかった。これにより、root権限で任意のコードが実行される可能性がある。これは設計上の欠陥である。この脆弱性は、特にload_elf_library()関数がメモリ管理用の関数を呼び出す方法に存在する。初期ファイルが割り当てられている間はセマフォは有効であるが、BSSセグメントのメモリが確保される前に解放される。セマフォが無効となるため、権限引き上げの方法と同じように、呼び出し側のメモリレイアウトが変更される可能性がある。binfmt_aoutバイナリ形式のローダーにも、同様の脆弱性が存在すると報告されている。※この情報は株式会社サイバーディフェンス ( http://www.cyberd.co.jp/ )より提供いただいております。 サイバーディフェンス社の CyberNoticeBasic サービスの詳細については 下記のアドレスまでお問い合せください。 問い合わせ先: scan@ns-research.jp 情報の内容は以下の時点におけるものです 【20:24 GMT、3、22、2005】
