【CVE-2024-42236】Linux Kernelに境界外書き込みの脆弱性、複数バージョンに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
Linux Kernelの境界外書き込み脆弱性が発見
Linux Kernel脆弱性の影響範囲まとめ
境界外書き込みについて
Linux Kernelの脆弱性対応に関する考察
参考サイト

記事の要約

Linux Kernelに境界外書き込みの脆弱性
CVSS v3による深刻度基本値は5.5（警告）
複数のバージョンが影響を受け、対策が公開

Linux Kernelの境界外書き込み脆弱性が発見

LinuxのLinux Kernelにおいて、境界外書き込みに関する脆弱性（CVE-2024-42236）が発見された。この脆弱性は2024年7月5日に公表され、CVSS v3による深刻度基本値は5.5（警告）と評価されている。影響を受けるシステムには、Linux Kernel 4.19.318未満から6.9.10未満までの複数のバージョンが含まれている。^[1]

この脆弱性の攻撃元区分はローカルであり、攻撃条件の複雑さは低いとされている。攻撃に必要な特権レベルは低く、利用者の関与は不要である。影響の想定範囲に変更はないが、可用性への影響が高いと評価されている。この脆弱性を悪用されると、サービス運用妨害（DoS）状態に陥る可能性がある。

対策として、ベンダーより正式な対策が公開されている。Kernel.orgのgitリポジトリでは、複数のコミットが公開され、usb_string_copy()関数における境界外読み書きを防ぐ修正が行われた。影響を受けるシステムの管理者は、ベンダー情報を参照し、適切な対策を実施することが推奨される。

Linux Kernel脆弱性の影響範囲まとめ

	影響を受けるバージョン	深刻度	攻撃条件	想定される影響
Linux Kernel	4.19.318未満～6.9.10未満	CVSS v3: 5.5（警告）	ローカル、低複雑性	DoS状態の可能性

境界外書き込みについて

境界外書き込みとは、プログラムが割り当てられたメモリ領域の範囲を超えてデータを書き込む脆弱性のことを指しており、主な特徴として以下のような点が挙げられる。

メモリ破壊やバッファオーバーフローを引き起こす可能性
攻撃者によるコード実行やシステムクラッシュの原因となる
適切な入力検証やメモリ管理の欠如が主な原因

今回のLinux Kernelの脆弱性では、usb_string_copy()関数における境界外書き込みが問題となっている。この関数はUSBデバイスの文字列記述子をコピーする際に使用されるが、適切な境界チェックが行われていなかったため、攻撃者がローカルから特別に細工されたUSBデバイスを接続することで、カーネルメモリを破壊し、システムの安定性を損なう可能性があった。

Linux Kernelの脆弱性対応に関する考察

Linux Kernelの脆弱性対応は、オープンソースコミュニティの迅速な対応力を示している。今回の境界外書き込みの脆弱性が発見されてから短期間で修正パッチが公開されたことは、セキュリティ維持の観点から評価できる。しかし、影響を受けるバージョンの範囲が広いことは、カーネルのバージョン管理と脆弱性対応の難しさを浮き彫りにしているだろう。

今後の課題として、Linux Kernelの開発プロセスにおけるセキュリティレビューの強化が挙げられる。特に、USBデバイスハンドリングのような低レベルの処理は、より厳密なコードレビューと自動化されたセキュリティテストの導入が必要だ。また、長期サポート版（LTS）カーネルのセキュリティアップデートの迅速な提供と、ユーザーへの適用の促進も重要な課題となるだろう。

Linux Kernelの脆弱性対応は、オープンソースソフトウェアのセキュリティモデルの強みと課題を同時に示している。コミュニティベースの迅速な対応と、企業の商用ディストリビューションによる安定性の提供のバランスが、今後のLinuxエコシステムの発展と信頼性の向上に不可欠だ。セキュリティ研究者とカーネル開発者の協力関係を更に強化し、脆弱性の早期発見と修正のサイクルを短縮することが期待される。