セキュリティ

SECURITY

公開：2024-11-01

【CVE-2024-49997】Linux Kernelに重要情報削除の脆弱性が発見、複数バージョンに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Linux Kernelに重要情報の削除に関する脆弱性が発見
• 複数バージョンのLinux Kernelが影響を受ける状態
• ベンダーから正式な対策パッチが公開済み

Linux Kernelの重要情報削除に関する脆弱性

Linux KernelのLantiq ETOPドライバーにおいて、保存または転送前の重要な情報の削除に関する脆弱性【CVE-2024-49997】が発見され、2024年10月1日に公開された。この脆弱性は複数のバージョンのLinux Kernelに影響を与えており、CVSS v3による深刻度基本値は7.5と重要度が高く評価されている。^[1]

影響を受けるバージョンは、Linux Kernel 3.0から5.10.227未満、5.11から5.15.168未満、5.16から6.1.113未満、6.2から6.6.55未満、6.7から6.10.14未満、6.11から6.11.3未満、そして6.12が該当する。攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされているため、早急な対応が必要だ。

この脆弱性に対して、Kernel.orgのgitリポジトリでは複数のコミットによる修正パッチが公開されている。修正内容はLantiq ETOPドライバーのメモリ情報漏洩に関する対策であり、情報セキュリティ上の重要な更新となっている。

Linux Kernel脆弱性の影響範囲まとめ

CWEについて

CWEとは、Common Weakness Enumerationの略称で、ソフトウェアやハードウェアのセキュリティ上の弱点を特定、分類するための標準化された一覧のことを指す。主な特徴として、以下のような点が挙げられる。

• セキュリティ上の弱点を体系的に分類・整理
• 開発者とセキュリティ専門家の共通言語として機能
• 脆弱性対策の優先順位付けに活用可能

今回のLinux Kernelの脆弱性は、CWEによって「保存または転送前の重要な情報の不適切な削除（CWE-212）」に分類されている。この分類は情報漏洩に関連する脆弱性を示しており、特に機密性への影響が高いとされるため、システム管理者は早急な対応を行う必要がある。

Linux Kernelの脆弱性対策に関する考察

Linux Kernelの脆弱性対策において、Kernel.orgが迅速にgitリポジトリで修正パッチを公開したことは評価に値する。しかし、影響を受けるバージョンが広範囲に及んでいることから、各システム管理者がパッチの適用を迅速に行う必要性が出てきており、特に大規模なシステムを運用している組織では、パッチ適用の優先順位付けと計画的な展開が重要になってくるだろう。

今後の課題として、Lantiq ETOPドライバーのような特定のハードウェアドライバーに関連する脆弱性の早期発見と予防的な対策の強化が挙げられる。特にネットワークからの攻撃が可能な脆弱性については、セキュリティ監査の頻度を上げることや、自動化されたセキュリティテストの導入を検討する必要があるだろう。

また、今回のような重要な情報の削除に関する脆弱性を防ぐために、Linuxカーネルの開発コミュニティではコードレビューのプロセスをより強化することが望まれる。特にメモリ管理に関する部分については、静的解析ツールの活用や、セキュリティレビューの強化など、より包括的な対策が必要になってくるだろう。

参考サイト

1. ^ JVN. 「JVNDB-2024-011540 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-011540.html, (参照 24-11-01).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧