Linux Kernel の compat_sys_recvmmsg() 関数の実装に起因する権限昇格の脆弱性(Scan Tech Report) | ScanNetSecurity
2021.09.20(月)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 エクスプロイト 記事

Linux Kernel の compat_sys_recvmmsg() 関数の実装に起因する権限昇格の脆弱性(Scan Tech Report)

Linux Kernel には、recvmmsg システムコールを取り扱う際の timeout パラメータ処理に起因して、権限昇格が可能な脆弱性が存在します。

脆弱性と脅威 エクスプロイト
1.概要
Linux Kernel には、recvmmsg システムコールを取り扱う際の timeout パラメータ処理に起因して、権限昇格が可能な脆弱性が存在します。
システムにアクセス可能なローカルの悪意あるユーザに利用された場合、root 権限を取得され、システムを完全に制御される可能性があります。
Linux Kernel で x32 ABI 機能 (CONFIG_X86_X32) を有効にする環境では、脆弱性を悪用される可能性があるため、影響を受けるバージョンの Linux Kernel を利用するユーザは可能な限り以下の対策を実施することを推奨します。


2.深刻度(CVSS)
6.9
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-0038&vector=%28AV%3AL/AC%3AM/Au%3AN/C%3AC/I%3AC/A%3AC%29


3.影響を受けるソフトウェア
Linux Kernel 3.4.x - 3.4.78/3.10.28/3.11.10/3.12.9/3.13.1

※1 影響を受けるバージョンの Linux Kernel が実装される openSUSE や Ubuntu などの Linux ディストリビューションもこの脆弱性の影響を受けます。


4.解説
x32 ABI (Application Binary Interface)※2 は、64 ビット環境で 32 ビットのポインタが使える機能を提供するバイナリインタフェースであり、Linux Kernel 3.4 より当該機能がサポートされています。
openSUSE や Ubuntu などの Linux ディストリビューションでは、既定で CONFIG_X86_X32 が有効 (CONFIG_X86_X32=y) になっています。

この CONFIG_X86_X32 が有効な Linux Kernel には、compat_sys_recvmmsg()関数 (net/compat.c) において、ユーザ空間から渡される timeout パラメータを適切にチェックせず、パラメータ値をそのままカーネル空間へのポインタとして処理してしまう不備があります。
このため、recvmmsg システムコールを介して、特定の関数ポインタのアドレスを指定した timeout パラメータを渡すことで、カーネルメモリ領域に任意のデータを書き込むことが可能な問題が存在します。

この脆弱性を利用することでシステムにアクセス可能なローカルの攻撃者は、root に権限昇格を行い、当該権限で任意のコマンドが実行可能となります。

※2 x32-abi
https://sites.google.com/site/x32abi/


5.対策
以下の Web サイトを参考に Linux Kernel 3.4.79/3.10.29/3.12.10/3.13.2 以降を入手しアップデートする、あるいは修正パッチを入手し適用することで、この脆弱性を解消することが可能です。

Linux Kernel:
http://www.kernel.org/

Linux Kernel linux.git 2def2ef2ae5f3990aabdbe8a755911902707d268
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=2def2ef2ae5f3990aabdbe8a755911902707d268

また、Linux ディストリビューションにおいては、それぞれのベンダが提供するセキュリティアドバイザリを参考に、適切なパッケージを入手しアップデートすることで、この脆弱性を解消することが可能です。

・openSUSE 12.3/13.1
openSUSE-SU-2014:0204-1
http://lists.opensuse.org/opensuse-security-announce/2014-02/msg00002.html
openSUSE-SU-2014:0205-1
http://lists.opensuse.org/opensuse-security-announce/2014-02/msg00003.html

・Ubuntu 12.04 LTS/13.10
CVE-2014-0038
http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0038.html


6.ソースコード
(Web非公開)

(執筆:株式会社ラック サイバー・グリッド研究所

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
《株式会社ラック デジタルペンテストサービス部》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Adobe Acrobat および Readerに過去に攻撃リスクが高いとされた脆弱性 画像

Adobe Acrobat および Readerに過去に攻撃リスクが高いとされた脆弱性
マイクロソフトが9月のセキュリティ情報公開、悪用の事実確認済脆弱性が1件 画像

マイクロソフトが9月のセキュリティ情報公開、悪用の事実確認済脆弱性が1件
三菱電機製 MELSEC iQ-R シリーズにリソース枯渇の脆弱性 画像

三菱電機製 MELSEC iQ-R シリーズにリソース枯渇の脆弱性
Appleが複数のソフトウェアに関するセキュリティアドバイザリ公開 画像

Appleが複数のソフトウェアに関するセキュリティアドバイザリ公開
Ghostscriptに任意のコマンド実行が可能な脆弱性 画像

Ghostscriptに任意のコマンド実行が可能な脆弱性
EC-CUBE 用プラグイン「一覧画面(受注管理)項目変更プラグイン」にXSSの脆弱性 画像

EC-CUBE 用プラグイン「一覧画面(受注管理)項目変更プラグイン」にXSSの脆弱性

インシデント・事故 記事一覧へ

海産珍味取扱い「伊勢せきやオンラインショップ」に不正アクセス、カード情報が流出 画像

海産珍味取扱い「伊勢せきやオンラインショップ」に不正アクセス、カード情報が流出
苗字でメール送信 社内システムで見た下の名前で誤送信気づく、1時間以内に対応完了 画像

苗字でメール送信 社内システムで見た下の名前で誤送信気づく、1時間以内に対応完了
新型コロナ検査結果を委託先の株式会社ナチュラリが二度誤通知、堺市は契約内容を検討 画像

新型コロナ検査結果を委託先の株式会社ナチュラリが二度誤通知、堺市は契約内容を検討
「TASKクラウド住基システム」に障害発生、システム更新時のプログラムファイルの破損が原因 画像

「TASKクラウド住基システム」に障害発生、システム更新時のプログラムファイルの破損が原因
ラネクシーPrizmDocのプロダクトサイトが改ざん被害、アクセスすると海外サイトへ移動 画像

ラネクシーPrizmDocのプロダクトサイトが改ざん被害、アクセスすると海外サイトへ移動
オリンパスのヨーロッパ、中東、アフリカ地域のITシステムに不正アクセス 画像

オリンパスのヨーロッパ、中東、アフリカ地域のITシステムに不正アクセス

調査・レポート・白書 記事一覧へ

JNSA 資料公開~「身代金支払」「インテリジェンスは合法か」セキュリティの法的議論 国際動向 画像

JNSA 資料公開~「身代金支払」「インテリジェンスは合法か」セキュリティの法的議論 国際動向
「Firebase」についての調査結果を公表、約1割にアプリ開発者の誤設定を確認 画像

「Firebase」についての調査結果を公表、約1割にアプリ開発者の誤設定を確認
警察庁が2021年上半期のランサムウェア被害状況を調査、感染経路はVPN機器からの侵入が最多 画像

警察庁が2021年上半期のランサムウェア被害状況を調査、感染経路はVPN機器からの侵入が最多
ランサムウェア攻撃で悪用される正規ツールについてトレンドマイクロが解説 画像

ランサムウェア攻撃で悪用される正規ツールについてトレンドマイクロが解説
誤送付の原因、ヒューマンエラーが大半を占める 画像

誤送付の原因、ヒューマンエラーが大半を占める
Deep Instinct「2021年上半期 脅威レポート」公開、マルウェアは2019年と比較し800%増加 画像

Deep Instinct「2021年上半期 脅威レポート」公開、マルウェアは2019年と比較し800%増加

研修・セミナー・カンファレンス 記事一覧へ

「ここだけは絶対に守る そんな領域を作ろう」セキュリティベンダとしての日本HPの提案 画像

「ここだけは絶対に守る そんな領域を作ろう」セキュリティベンダとしての日本HPの提案
VIPならぬ「VAP」とは? 内部脅威の最も暗い影に光をあてたProofpoint 画像

VIPならぬ「VAP」とは? 内部脅威の最も暗い影に光をあてたProofpoint
ドメイン名ハイジャック対応、日本企業のベストプラクティス事例 画像

ドメイン名ハイジャック対応、日本企業のベストプラクティス事例
中高生の保護者や教員を対象にSNS安全利用Webシンポジウム開催 画像

中高生の保護者や教員を対象にSNS安全利用Webシンポジウム開催
破綻したモグラたたき ~ サイバーリーズンが考える攻撃可視化の重要性 画像

破綻したモグラたたき ~ サイバーリーズンが考える攻撃可視化の重要性
LogStareとセキュアヴェイル、セキュリティリスクを分析する実践型のログ分析ウェビナーを開催 画像

LogStareとセキュアヴェイル、セキュリティリスクを分析する実践型のログ分析ウェビナーを開催

製品・サービス・業界動向 記事一覧へ

LINEセキュリティチーム vs フィッシング詐欺、ゼロからの戦い 画像

LINEセキュリティチーム vs フィッシング詐欺、ゼロからの戦い
理経、災害時に避難者を瞬時に確認できる「顔認証を利用した安否確認システム」販売 画像

理経、災害時に避難者を瞬時に確認できる「顔認証を利用した安否確認システム」販売
大手キャリアが「SOC1 Type1報告書」「SOC2 Type1報告書」同時取得 画像

大手キャリアが「SOC1 Type1報告書」「SOC2 Type1報告書」同時取得
クロスポイントとサイバーリーズン協業「X-SOC for Cybereason」提供 画像

クロスポイントとサイバーリーズン協業「X-SOC for Cybereason」提供
理経、RADIUS認証など複数の認証方法をサポートした米国Nomadix社「EG1000」販売開始 画像

理経、RADIUS認証など複数の認証方法をサポートした米国Nomadix社「EG1000」販売開始
我が社の SOC は大丈夫? SOC 選びサバイバルガイド 画像

我が社の SOC は大丈夫? SOC 選びサバイバルガイド

おしらせ 記事一覧へ

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×