セキュリティ

SECURITY

公開：2024-12-05

【CVE-2024-50182】Linux kernelのmemfd_secret()システムコールに重大な脆弱性、arm64システムのメモリ保護機能に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Linux kernelでmemfd_secret()システムコールの脆弱性が発見
• arm64システムで直接マップの無効化が正しく機能せず
• CONFIG_RODATA_FULL_DEFAULT_ENABLEDがデフォルトで有効に

Linux kernelのmemfd_secret()システムコール脆弱性

Linux kernelの開発チームは2024年11月8日、memfd_secret()システムコールに関する重要な脆弱性【CVE-2024-50182】を公開した。この脆弱性は、特定のarm64構成においてdirect mapを4kグラニュラリティで設定できない場合にmemfd_secret()が正しく機能せず、メモリの保護が適切に行われない問題を引き起こしている。^[1]

問題の根本的な原因は、arm64システムにおけるset_direct_map_invalid_noflush()の挙動にある。この関数は、can_set_direct_map()がfalseを返す場合でも成功を示す0を返してしまい、結果としてmemfd_secret()が見かけ上は正常に動作するものの、実際にはメモリを直接マップから削除するという本来の目的を達成できていない状態だった。

この脆弱性の影響を受けるのは、CONFIG_RODATA_FULL_DEFAULT_ENABLEDがnに設定されているarm64システムに限定される。幸いなことに、このオプションはデフォルトでyに設定されているため、大多数のarm64システムでは問題なくmemfd_secret()が機能しており、影響を受けないことが確認されている。

Linux kernel脆弱性の詳細

メモリ保護機能について

メモリ保護機能とは、プログラムやプロセスが使用するメモリ領域を他のプロセスからアクセスできないように保護する重要なセキュリティ機構のことである。主な機能として以下のような特徴がある。

• プロセス間のメモリ分離による機密情報の保護
• 不正なメモリアクセスの防止によるシステム安定性の向上
• 権限に基づいたメモリアクセス制御の実現

memfd_secret()システムコールは、特に機密性の高いデータを扱うアプリケーションにおいて、メモリ内容を他のプロセスから完全に隔離するために使用される重要な機能である。直接マップからメモリを削除することで、カーネルデバッガーや他の特権プロセスからもアクセスできないようにする高度なセキュリティを実現している。

Linux kernelのメモリ保護機能に関する考察

Linux kernelのメモリ保護機能の実装における今回の問題は、アーキテクチャ固有の制約とセキュリティ機能の相互作用に関する重要な教訓を示している。特にarm64プラットフォームでは、ページテーブルの操作に関する制約が厳しく、メモリ保護機能の実装により慎重なアプローチが必要であることが明らかになった。今後は各アーキテクチャの特性を考慮した実装の検証がより重要になるだろう。

セキュリティ機能の実装において、成功を示す戻り値と実際の機能の実現が一致していない場合、それは重大なセキュリティリスクとなる。システムコールのエラーハンドリングと戻り値の意味について、より厳密な仕様の策定と実装の検証が必要である。特に機密情報を扱うセキュリティ機能については、実装の正確性を保証するための包括的なテストケースの開発が望まれる。

今後のLinux kernelの開発において、アーキテクチャ固有の制約に関する情報をより明確に文書化し、開発者間で共有することが重要になるだろう。また、セキュリティ機能の実装における暗黙の前提や依存関係を明確にし、異なるハードウェアプラットフォーム間での互換性と一貫性を確保するための取り組みが必要である。

参考サイト

1. ^ CVE. 「CVE-2024-50182 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-50182, (参照 24-12-05).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧