セキュリティ

SECURITY

公開：2024-10-02

【CVE-2024-46750】Linux Kernelにリソースロックの脆弱性、DoS攻撃のリスクでセキュリティ対策が急務に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Linux Kernelにリソースロックの脆弱性
• CVE-2024-46750として識別される問題
• DoS攻撃の可能性があり、修正パッチ公開

Linux Kernelのリソースロック脆弱性が発見され、セキュリティ対策が急務に

Linux Kernelの開発チームは、リソースのロックに関する重大な脆弱性を2024年7月12日に公開した。この脆弱性はCVE-2024-46750として識別され、NVDによるCVSS v3基本値は5.5（警告）と評価されている。影響を受けるバージョンは広範囲に及び、Linux Kernel 4.19.322未満から6.10.10未満まで多数のバージョンが対象となっている。^[1]

この脆弱性の主な影響は、攻撃者によってサービス運用妨害（DoS）状態を引き起こされる可能性があることだ。攻撃元区分はローカルであり、攻撃条件の複雑さは低いとされている。また、攻撃に必要な特権レベルは低く、利用者の関与は不要とされており、可用性への影響が高いと評価されている。

対策として、Linuxの開発元であるKernel.orgは、複数のGitリポジトリにおいて修正パッチを公開している。これらのパッチはPCIブリッジのロックに関する問題を修正しており、具体的には「pci_bus_lock()」関数に不足していたブリッジロックを追加している。システム管理者は、これらの修正を適用し、影響を受けるシステムを最新の安全なバージョンにアップデートすることが推奨される。

Linux Kernel脆弱性（CVE-2024-46750）の影響範囲

不適切なロック（CWE-667）について

不適切なロック（CWE-667）とは、ソフトウェアがリソースを適切にロックしない、またはロックを正しく管理しない脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• リソースの競合状態を引き起こす可能性がある
• データの整合性や可用性に影響を与える
• デッドロックやライブロックなどの問題を引き起こす可能性がある

今回のLinux Kernelの脆弱性（CVE-2024-46750）は、この不適切なロックの一例である。PCIバスのロック処理において、ブリッジロックが適切に実装されていなかったことが原因とされている。この問題により、特定の条件下でリソースの競合が発生し、システムの安定性や性能に影響を与える可能性があった。

Linux Kernelの脆弱性対応に関する考察

Linux Kernelの開発チームが迅速に脆弱性を特定し、修正パッチを公開したことは評価に値する。オープンソースコミュニティの協力体制が、このような重大な脆弱性への迅速な対応を可能にしていると言えるだろう。一方で、広範囲のバージョンに影響が及んでいることから、脆弱性の根本原因がかなり以前から存在していた可能性も考えられる。

今後の課題として、カーネル開発プロセスにおけるセキュリティレビューの強化が挙げられる。特に低レベルのリソース管理に関する部分は、複雑な相互作用を含むため、より慎重な検証が必要だろう。また、自動化されたセキュリティテストの拡充や、静的解析ツールの活用も、同様の脆弱性の早期発見に貢献する可能性がある。

長期的には、カーネルのモジュール化やマイクロカーネルアーキテクチャの採用なども、セキュリティ向上の観点から検討に値するかもしれない。これにより、個々のコンポーネントの独立性が高まり、脆弱性の影響範囲を限定できる可能性がある。同時に、バージョン管理や更新プロセスの改善も、ユーザーの負担を軽減し、セキュリティパッチの適用率向上につながるだろう。

参考サイト

1. ^ JVN. 「JVNDB-2024-009479 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-009479.html, (参照 24-10-02).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧