【CVE-2024-50142】Linuxカーネルのxfrmコンポーネントに脆弱性、プレフィックス長の検証に関する重要な更新が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Linuxカーネルのxfrmコンポーネントに脆弱性が発見
プレフィックス長の検証に関する問題が存在
複数のカーネルバージョンに影響する重要な修正

LinuxカーネルのxfrmコンポーネントにおけるCVE-2024-50142の脆弱性

kernel.orgは2024年11月7日、Linuxカーネルのxfrmコンポーネントに存在する重要な脆弱性【CVE-2024-50142】を公開した。syzbot検証ツールによってSAのセレクタファミリがAF_UNSPECに設定された状態でプレフィックス長が検証をバイパスできる問題が発見され、セキュリティ上の懸念が指摘されている。^[1]

この脆弱性は複数のLinuxカーネルバージョンに影響を及ぼすことが判明しており、特にバージョン2.6.12以降の環境で問題が確認された。kernel.orgは各バージョン向けに修正パッチを提供し、特に4.19.323以降や5.4.285以降のバージョンでは既に対策が実施されている。

修正では主にverify_newsa_info関数の動作が改善され、AF_UNSPECセレクタが指定された場合のプレフィックス長の検証方法が強化された。copy_from_user_state関数との整合性を考慮し、プレフィックス長の検証をユーザSAファミリに基づいて実行するよう変更が加えられている。

LinuxカーネルのCVE-2024-50142対応状況まとめ

カーネルバージョン	対応状況
2.6.12以前	影響なし
2.6.12以降	影響あり - パッチ適用必要
4.19.323以降	修正済み
5.4.285以降	修正済み
6.1.115以降	修正済み
6.6.59以降	修正済み

プレフィックス長の検証について

プレフィックス長とは、IPアドレスのネットワーク部を示すビット数のことを指しており、以下のような特徴がある。

ネットワークとホストの境界を定義する重要なパラメータ
IPv4とIPv6で異なる範囲の値を取る
不適切な値設定はセキュリティ上のリスクとなる

Linuxカーネルのxfrmコンポーネントでは、SAのセレクタファミリとプレフィックス長の整合性チェックが重要な役割を果たしている。特にAF_UNSPECが指定された場合のプレフィックス長の扱いには慎重な検証が必要であり、今回の脆弱性はこの検証処理の不備に起因する問題であった。

Linuxカーネルのxfrmコンポーネント脆弱性に関する考察

kernel.orgによる迅速な脆弱性の公開と修正パッチの提供は、オープンソースコミュニティの強みを示す好例となっている。特にsyzbotによる検証ツールを活用した問題の発見は、自動化されたセキュリティテストの重要性を改めて示すものだ。今後も継続的なセキュリティ検証の重要性が高まるだろう。

一方で、長期にわたって影響を受けるバージョンが存在することは、レガシーシステムのセキュリティ維持における課題を浮き彫りにしている。特に2.6.12以降という広範なバージョンに影響する脆弱性の存在は、バージョン管理と更新の重要性を示唆している。セキュリティパッチの適用と検証の自動化がより一層求められるだろう。

今後はAI技術を活用したコード検証やセキュリティテストの導入が期待される。特にプレフィックス長の検証のような基本的なネットワークパラメータの処理において、より堅牢な実装方法の確立が望まれる。継続的なセキュリティ強化の取り組みが不可欠だ。