セキュリティ

SECURITY

公開：2025-03-19

【CVE-2025-21864】Linux kernelにTCPセキュリティの脆弱性、ネットワーク名前空間の削除処理に問題

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Linux kernelにネットワーク名前空間関連の脆弱性が発見
• TCP処理時のsecpathとdst解放タイミングに不具合
• 複数のLinuxバージョンに影響する重要な修正

Linux kernelに発見されたTCPセキュリティの脆弱性

Linux kernelの開発チームは2025年3月12日、TCPの処理におけるsecpathとdstの解放タイミングに関する脆弱性【CVE-2025-21864】を公開した。この脆弱性は、ネットワーク名前空間の削除時にxfrm_stateの参照が適切に解放されないことで、システムの安定性に影響を与える可能性がある問題として報告された。^[1]

問題の発生条件として、ネットワーク名前空間のペアを作成してipcomp6上でTCPテストを実行し、その後ネットワーク名前空間を削除するという一連の操作が確認されている。secpathがskbに付加されたままCPUのdefer_listに残り、ネットワーク名前空間削除前にリストが適切にフラッシュされないことが原因だ。

この脆弱性は、Linux kernel 5.19から6.1.130未満、6.6.80未満、6.12.17未満、6.13.5未満、6.14-rc4未満の各バージョンに影響を与えることが判明している。TCP受信パスでdstが不要になった時点でsecpathも同時に解放することで、この問題を解決することが可能になった。

Linux kernelバージョン別の影響範囲まとめ

xfrm_stateについて

xfrm_stateとは、Linuxカーネルにおけるネットワークセキュリティの実装に使用される重要なデータ構造であり、IPsecなどのセキュリティプロトコルの状態を管理する役割を担っている。主な特徴として、以下のような点が挙げられる。

• セキュリティアソシエーション情報の保持と管理
• 暗号化や認証に必要なパラメータの制御
• ネットワークスタックでのセキュリティポリシーの実装

xfrm_stateはネットワーク名前空間との密接な関連性を持ち、名前空間の削除時には適切にクリーンアップされる必要がある。今回の脆弱性では、secpathを介したxfrm_stateへの参照が残存することで、ネットワーク名前空間の適切な終了処理が妨げられる問題が発生している。

Linux kernelのTCP実装に関する考察

今回の脆弱性修正は、Linux kernelのネットワークスタック実装における参照カウント管理の重要性を改めて示している。特にマルチCPU環境でのリソース解放タイミングは慎重な設計が必要であり、defer_listの扱いには十分な注意を払う必要があるだろう。

今後はネットワーク名前空間の削除処理において、残存するリソースの検出と適切な解放がより重要になってくると考えられる。特にMPTCPなどの拡張機能との相互作用については、より詳細な検証と設計の見直しが必要になってくるだろう。

セキュリティ機能の実装においては、パフォーマンスとの両立も重要な課題となっている。LSMフックの呼び出しタイミングや、secpathの保持期間の最適化など、セキュリティと効率性のバランスを取る設計改善が今後も継続的に必要となるはずだ。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21864, (参照 25-03-19).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧