セキュリティ

SECURITY

公開：2024-11-02

【CVE-2024-50086】Linux Kernelで解放済みメモリ使用の脆弱性が発見、情報漏洩やDoS攻撃のリスクに警戒

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Linux Kernelに解放済みメモリ使用の脆弱性が発見
• 影響を受けるバージョンは6.1.114未満など複数
• 情報漏洩やDoS攻撃のリスクあり

Linux Kernelの解放済みメモリ使用に関する脆弱性

Linuxは2024年10月31日、Linux Kernelにおける解放済みメモリの使用に関する脆弱性【CVE-2024-50086】を公開した。CVSS v3による深刻度基本値は7.0で重要と評価されており、影響を受けるバージョンはLinux Kernel 6.1.114未満、6.2以上6.6.58未満、6.7以上6.11.5未満、Linux Kernel 6.12となっている。^[1]

この脆弱性は攻撃元区分がローカルで攻撃条件の複雑さが高いとされているが、攻撃に必要な特権レベルは低く利用者の関与も不要となっている。影響の想定範囲に変更はないものの、機密性・完全性・可用性への影響は全て高いと評価されており、早急な対応が求められている。

ベンダからは正式な対策が公開されており、ksmbd関連の修正パッチが複数のリポジトリで提供されている。システム管理者はKernel.orgのgitリポジトリを確認し、該当するバージョンを使用している場合は速やかにアップデートを実施することが推奨される。

Linux Kernel脆弱性の影響範囲まとめ

解放済みメモリの使用について

解放済みメモリの使用とは、既に開放されたメモリ領域に対して不正なアクセスを行う脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• プログラムが既に解放したメモリ領域を再利用する問題
• 情報漏洩やシステムクラッシュのリスクが高い
• セキュリティ上の重大な脆弱性として分類

CWEでは解放済みメモリの使用はCWE-416として分類されており、Linuxカーネルにおける今回の脆弱性も同様に分類されている。NVDの評価によると今回の脆弱性は機密性・完全性・可用性への影響が高く評価されており、攻撃者によって情報の取得や改ざん、サービス運用妨害などの被害が発生する可能性がある。

Linux Kernelの脆弱性に関する考察

今回の脆弱性は攻撃条件の複雑さが高く、攻撃元区分もローカルに限定されているため、実際の攻撃の難易度は比較的高いと考えられる。しかし、攻撃に成功した場合の影響が重大であり、特に機密性・完全性・可用性の全てに高い影響があることから、システム全体のセキュリティリスクは看過できない水準となっている。

今後同様の脆弱性が発見されるリスクを考慮すると、メモリ管理に関する厳密なコードレビューやセキュリティテストの強化が求められる。特にksmbd関連のコードについては、セッション管理やメモリ解放のタイミングに関する処理を見直し、より堅牢な実装を目指す必要があるだろう。

Linux Kernelの開発コミュニティには、脆弱性の早期発見と修正パッチの迅速な提供が期待される。また、システム管理者側でも定期的なセキュリティアップデートの適用や、セキュリティ監視の強化など、より積極的な防御態勢の構築が望まれる。

参考サイト

1. ^ JVN. 「JVNDB-2024-011662 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-011662.html, (参照 24-11-02).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧