こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。
11/23/2022にLinux Kernelの脆弱性(Moderate: CVE-2022-3910)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。
[過去関連リンク(最新5件)]
Linux Kernelの脆弱性(Important: CVE-2022-42919)
Linux Kernelの脆弱性(CVE-2022-43945)
Linux Kernelの脆弱性(CVE-2022-43750)
Linux Kernelの脆弱性(Moderate: CVE-2022-3239)
Linux Kernelの脆弱性(Important: CVE-2022-2977)
Linux Kernelの脆弱性(Important: CVE-2022-2964)
CVSS/プライオリティ
| CVE番号 | 影響するバージョン | リファレンス | Priority | CVSS3 Base Score | CVSS3 Basic Metrics |
|---|---|---|---|---|---|
| CVE-2022-3910 | https://github.com/torvalds/linux/commit/fc7222c3a9f56271fba02aabbfbae999042f1679 | Red Hat: Moderate | Red Hat 7.4 Moderate NVD 7.8 | Red Hat: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H NVD: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3910
- Use-After-Freeと権限昇格の脆弱性
- Linux Kernelのio_uring leads()中で、io_msg_ringが固定されたファイルで呼び出された際にio_fput_file()が呼び出され、参照カウント値が不正に減少していました。これによりUse-After-Freeが発生し、ローカルユーザが権限昇格できる可能性があります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。
[参考]
https://github.com/torvalds/linux/commit/fc7222c3a9f56271fba02aabbfbae999042f1679
