セキュリティ

SECURITY

公開：2025-02-07

【CVE-2025-21674】Linux kernelでIPsecトンネルの依存性警告問題が発覚、複数のバージョンに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Linux kernelでIPsecトンネルの依存性警告を修正
• デバッグカーネルでのIPsecパケットオフロードに関する問題を特定
• SOFTIRQロックの順序による重大な脆弱性を修正

Linux kernelのIPsecトンネルモードにおける深刻な依存性の問題が発覚

Linux kernelの開発チームは2025年1月31日、IPsecトンネルモードにおける重大な依存性の問題【CVE-2025-21674】を公開した。この問題はデバッグカーネルでIPsecパケットオフロードを有効化する際に発生し、SAモードのマーキング時に_bh()バリアントが必要であることが判明している。^[1]

この脆弱性はSOFTIRQ-safeからSOFTIRQ-unsafeへのロック順序の依存性に起因しており、特にmlx5eドライバーのxfrm状態の管理において重大な問題を引き起こす可能性がある。カーネルパニックを引き起こす可能性があり、システムの安定性に深刻な影響を及ぼすことが確認された。

また、SAの削除ルーチンにおける不要なflush_workqueueの存在も問題として特定された。この問題はSAがSADBから削除された後のステージで発生し、SA解放時にワークがキャンセルされる仕様との整合性が取れていないことが明らかになっている。

Linux kernelの影響を受けるバージョン一覧

SOFTIRQについて

SOFTIRQとは、Linuxカーネルにおける割り込み処理のメカニズムの一つで、ハードウェア割り込みの遅延処理を実現するための重要な機能である。主な特徴として、以下のような点が挙げられる。

• ハードウェア割り込みの処理を二段階に分けて実行する仕組み
• システムの応答性とパフォーマンスのバランスを最適化
• 優先度の高い割り込み処理を効率的に実行

SOFTIRQはカーネル内部で重要な役割を果たしており、特にネットワークスタックやブロックデバイスのI/O処理において不可欠な存在である。特にIPsecのような暗号化通信においては、パケット処理の効率性と信頼性を確保するために、SOFTIRQの適切な制御が必要不可欠だ。

Linux kernelのIPsecトンネルモード脆弱性に関する考察

今回のIPsecトンネルモードにおける脆弱性の発見は、Linuxカーネルのセキュリティ管理における重要な転換点となる可能性がある。特にデバッグカーネルでの問題発見は、開発段階での厳密なセキュリティテストの重要性を再認識させる結果となった。今後は同様の依存性の問題を早期に発見するための静的解析ツールの導入が求められるだろう。

また、SAの管理に関する問題は、カーネルの複雑化に伴うリスクを浮き彫りにしている。特にマルチコアシステムでの並行処理における同期の問題は、今後さらに重要性を増すことが予想される。カーネル開発チームには、より厳密なコードレビューとテストプロセスの確立が求められるだろう。

今後は特にIPsecの実装における依存性管理の改善が重要な課題となる。ロックの順序付けやリソース管理の問題は、システムの安定性に直結する重要な要素であり、より体系的なアプローチが必要とされる。セキュリティと性能のバランスを保ちながら、堅牢なシステムを構築することが求められている。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21674, (参照 25-02-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧