セキュリティ

SECURITY

公開：2025-01-11

【CVE-2024-56655】Linuxカーネルのnf_tablesにおけるルール破壊の脆弱性が修正、同期処理の改善でセキュリティが向上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Linux kernelのnf_tablesにおけるルール破壊の脆弱性が修正
• call_rcu経由のルール破壊を避ける実装に変更
• 同期処理とトランザクションの整合性が向上

Linuxカーネルのnf_tablesにおける脆弱性修正

Linuxカーネルにおいて、netfilterコンポーネントのnf_tablesモジュールにおけるルール破壊に関する脆弱性が修正された。この脆弱性は【CVE-2024-56655】として識別され、2024年12月27日に公開されており、カーネルバージョン6.12から6.12.6までの範囲で影響を受けることが判明している。^[1]

nf_tables_chain_destroyがスリープ状態になることでcall_rcuコールバックからの使用が不可能となり、トランザクションミューテックスの保持中にエラー処理を行う場合にのみnf_tables_rule_releaseの安全性が確保されるという問題が発見された。また、nft_rule_expr_deactivateコールバックは他のチェーンやセットのuseカウンターを変更する可能性があり、トランザクションミューテックスによる直列化が必要となっている。

この脆弱性の修正により、synchronize_rcuの呼び出しが追加され、デアクティベーションと解放の間に適切な同期処理が実装された。また、nft_lookup deactivateコールバックのような処理において、トランザクションミューテックスによる適切な直列化が確保されるようになっている。

Linuxカーネルのnf_tables脆弱性の影響範囲

トランザクションミューテックスについて

トランザクションミューテックスとは、複数のスレッドやプロセス間でデータの整合性を保つために使用される同期機構のことを指す。以下のような特徴を持っている。

• データの一貫性を保証する排他制御機能
• 競合状態を防ぎ安全な並行処理を実現
• デッドロックを防止する制御機構

Linuxカーネルのnf_tablesにおけるトランザクションミューテックスは、ルールの追加や削除、チェーンの管理などの操作を安全に実行するために重要な役割を果たしている。特にnft_rule_expr_deactivateコールバックのような複雑な処理では、useカウンターの変更を適切に直列化することでデータの整合性を確保することが可能となっている。

Linuxカーネルのnf_tables実装に関する考察

synchronize_rcuを使用した実装は短期的な解決策としては適切だが、パフォーマンスへの影響が懸念される。将来的にはnft_trans_ruleオブジェクトとnft_trans_chainオブジェクトを活用し、ルールとチェーンの非アクティブ化を段階的に行う方式への移行が検討されるべきだろう。

メモリ割り当ての失敗に対するフォールバックパスとしてsynchronize_rcuを維持する必要性は残るが、より効率的な実装方式の模索が望まれる。特にハイパフォーマンスなネットワーク環境では、ルールの追加や削除が頻繁に発生する可能性があり、同期処理のオーバーヘッドを最小限に抑える工夫が必要となるだろう。

また、トランザクションミューテックスによる直列化は必要不可欠だが、粒度を適切に調整することでパフォーマンスと安全性のバランスを取ることが重要となる。将来的には、よりきめ細かなロック制御やゼロコピーでの実装など、パフォーマンスを意識した改善が期待される。

参考サイト

1. ^ CVE. 「CVE-2024-56655 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-56655, (参照 25-01-11).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧