【CVE-2025-21864】Linux kernelにTCPセキュリティの脆弱性、ネットワーク名前空間の削除処理に問題
スポンサーリンク
記事の要約
- Linux kernelにネットワーク名前空間関連の脆弱性が発見
- TCP処理時のsecpathとdst解放タイミングに不具合
- 複数のLinuxバージョンに影響する重要な修正
スポンサーリンク
Linux kernelに発見されたTCPセキュリティの脆弱性
Linux kernelの開発チームは2025年3月12日、TCPの処理におけるsecpathとdstの解放タイミングに関する脆弱性【CVE-2025-21864】を公開した。この脆弱性は、ネットワーク名前空間の削除時にxfrm_stateの参照が適切に解放されないことで、システムの安定性に影響を与える可能性がある問題として報告された。[1]
問題の発生条件として、ネットワーク名前空間のペアを作成してipcomp6上でTCPテストを実行し、その後ネットワーク名前空間を削除するという一連の操作が確認されている。secpathがskbに付加されたままCPUのdefer_listに残り、ネットワーク名前空間削除前にリストが適切にフラッシュされないことが原因だ。
この脆弱性は、Linux kernel 5.19から6.1.130未満、6.6.80未満、6.12.17未満、6.13.5未満、6.14-rc4未満の各バージョンに影響を与えることが判明している。TCP受信パスでdstが不要になった時点でsecpathも同時に解放することで、この問題を解決することが可能になった。
Linux kernelバージョン別の影響範囲まとめ
項目 | 詳細 |
---|---|
影響を受けるバージョン | Linux kernel 5.19以降の特定バージョン |
修正済みバージョン | 6.1.130以降、6.6.80以降、6.12.17以降、6.13.5以降、6.14-rc4以降 |
脆弱性ID | CVE-2025-21864 |
報告者 | Xiumei氏 |
公開日 | 2025年3月12日 |
スポンサーリンク
xfrm_stateについて
xfrm_stateとは、Linuxカーネルにおけるネットワークセキュリティの実装に使用される重要なデータ構造であり、IPsecなどのセキュリティプロトコルの状態を管理する役割を担っている。主な特徴として、以下のような点が挙げられる。
- セキュリティアソシエーション情報の保持と管理
- 暗号化や認証に必要なパラメータの制御
- ネットワークスタックでのセキュリティポリシーの実装
xfrm_stateはネットワーク名前空間との密接な関連性を持ち、名前空間の削除時には適切にクリーンアップされる必要がある。今回の脆弱性では、secpathを介したxfrm_stateへの参照が残存することで、ネットワーク名前空間の適切な終了処理が妨げられる問題が発生している。
Linux kernelのTCP実装に関する考察
今回の脆弱性修正は、Linux kernelのネットワークスタック実装における参照カウント管理の重要性を改めて示している。特にマルチCPU環境でのリソース解放タイミングは慎重な設計が必要であり、defer_listの扱いには十分な注意を払う必要があるだろう。
今後はネットワーク名前空間の削除処理において、残存するリソースの検出と適切な解放がより重要になってくると考えられる。特にMPTCPなどの拡張機能との相互作用については、より詳細な検証と設計の見直しが必要になってくるだろう。
セキュリティ機能の実装においては、パフォーマンスとの両立も重要な課題となっている。LSMフックの呼び出しタイミングや、secpathの保持期間の最適化など、セキュリティと効率性のバランスを取る設計改善が今後も継続的に必要となるはずだ。
参考サイト
- ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21864, (参照 25-03-19).
※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。
- 【CVE-2025-24201】AppleがiOS 18.3.2など複数製品のセキュリティアップデートを公開、重大な脆弱性に対処
- 【CVE-2025-25615】Unifiedtransform 2.0に不適切なアクセス制御の脆弱性、出席リストの意図しない閲覧が可能な状態に
- 【CVE-2025-0959】WordPressプラグインEventerにSQLインジェクションの脆弱性、Subscriber権限で悪用の可能性
- 【CVE-2025-21865】LinuxカーネルのGTPモジュールに二重削除の脆弱性、ネットワーク名前空間の終了処理に問題
- Google WorkspaceがVaultとTakeoutのクライアントサイド暗号化ドキュメントをWord形式に変換可能に、セキュアなデータ管理の実現へ
- GoogleがNotebookLMとNotebookLM PlusにContext-Aware Access機能を追加、企業向けセキュリティ管理の強化を実現
- GoogleがChatのDMリテンションポリシーを変更、会話作成者のポリシーに統一し外部ユーザーとの一貫性を確保
- 桂不動産がライナフのスマート置き配を導入、オートロック付きマンション130棟に順次展開へ
- ゾーホージャパンがManageEngineのITconを大阪で初開催、WSUS問題とセキュリティ対策のソリューションを提供へ
スポンサーリンク