セキュリティ

SECURITY

公開：2024-10-29

【CVE-2024-49993】Linux Kernelでリソースロックの脆弱性が発見、DoS攻撃のリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Linux Kernelにリソースロックの脆弱性が発見
• CVE-2024-49993として識別される深刻な問題
• DoS状態を引き起こす可能性のある脆弱性

Linux Kernelのリソースロック脆弱性が発見

Linux Kernelに重大な脆弱性が発見され、JVNDB-2024-011342として2024年10月29日に公開された。この脆弱性はCVE-2024-49993として識別されており、リソースロックの問題によってサービス運用妨害状態を引き起こす可能性がある。^[1]

この脆弱性は複数のLinux Kernelバージョンに影響を及ぼしており、Linux Kernel 5.10.227未満、5.15.168未満、6.1.113未満、6.6.55未満、6.10.14未満、6.11.3未満のバージョンが対象となっている。NVDによる評価では、攻撃元区分はローカルで攻撃条件の複雑さは低いとされているのだ。

また、この脆弱性に対してベンダーから正式な対策が公開されており、Kernel.orgのgitリポジトリにおいて修正パッチが提供されている。脆弱性の深刻度はCVSS v3で5.5と評価されており、可用性への影響が高いことが特徴的である。

Linux Kernelの影響を受けるバージョンまとめ

リソースロックについて

リソースロックとは、複数のプロセスやスレッドが共有リソースにアクセスする際に、データの整合性を保つための同期機構のことを指す。主な特徴として、以下のような点が挙げられる。

• 共有リソースへの排他的アクセスを制御
• データの整合性を確保する重要な機構
• デッドロックやライブロックの原因となり得る

今回の脆弱性では、Linux KernelのIOMMMUサブシステムにおいてqi_submit_sync関数が0カウントで呼び出された際にロックアップが発生する可能性がある。この問題はCVSS v3で5.5と評価されており、特に可用性への影響が高いことから、早急な対応が求められている。

Linux Kernelの脆弱性に関する考察

Linux Kernelのリソースロック脆弱性は、システムの可用性に直接的な影響を与える重大な問題として認識されている。特にIOMMMUサブシステムにおけるロックアップの問題は、システム全体のパフォーマンスや安定性に影響を及ぼす可能性があり、早急な対応が必要だろう。

今後は同様の脆弱性を防ぐため、コードレビューやテストケースの強化が求められる。特にリソースロックに関連する部分については、エッジケースを含めた包括的なテストが重要となるだろう。

また、Linux Kernelの開発コミュニティは、セキュリティ機能の強化とパフォーマンスの最適化の両立を目指す必要がある。今回の脆弱性を教訓に、リソース管理機構の見直しと改善が進むことが期待される。

参考サイト

1. ^ JVN. 「JVNDB-2024-011342 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-011342.html, (参照 24-10-29).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧