セキュリティ

SECURITY

公開：2025-03-26

【CVE-2024-57492】redoxOS relibcにサービス拒否攻撃の脆弱性が発見、高権限での攻撃に要注意

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• redoxOS relibcに重大な脆弱性が発見される
• round_up_to_page機能に深刻な問題が存在
• サービス拒否攻撃のリスクが明らかに

redoxOS relibcの脆弱性とサービス拒否攻撃のリスク

米国MITRE Corporationは2025年3月10日、redoxOS relibcのcommit 98aa4ea5以前のバージョンにおいて、重大な脆弱性が発見されたことを公開した。この脆弱性は【CVE-2024-57492】として識別されており、round_up_to_page機能に深刻な問題が存在することが明らかになっている。^[1]

CISAによる評価では、この脆弱性のCVSSスコアは6.0（MEDIUM）とされており、攻撃者が局所的なアクセスを通じてサービス拒否攻撃を引き起こす可能性が指摘されている。技術的な影響度は「partial」と評価され、特権レベルが高い状態での攻撃が想定されている。

この脆弱性に関する詳細な情報は、GitLabのissueトラッカーおよびマージリクエストで公開されており、POCも既に公開されている状態だ。CWE-1262（レジスタインターフェースに対する不適切なアクセス制御）として分類されるこの問題は、早急な対応が必要とされている。

CVE-2024-57492の詳細情報まとめ

サービス拒否攻撃について

サービス拒否攻撃とは、システムやネットワークのリソースを意図的に枯渇させ、本来のサービスを利用できない状態にする攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• システムリソースの過剰消費による機能停止
• 正規ユーザーのサービス利用を妨害
• システムの可用性に直接的な影響を与える

CVE-2024-57492の場合、redoxOS relibcのround_up_to_page機能の脆弱性を悪用することで、ローカル環境からサービス拒否攻撃が可能となる。この攻撃には高い権限レベルが必要とされるものの、システムの安定性に重大な影響を及ぼす可能性があるため、早急な対策が求められている。

redoxOS relibcの脆弱性に関する考察

今回発見された脆弱性は、ローカル環境での攻撃に限定されているため、リモートからの攻撃リスクは比較的低いと評価できる。しかしながら、高権限ユーザーによる攻撃が可能であることから、特に共有環境や管理者権限を持つユーザーが多い環境では、重大な影響を及ぼす可能性が高いだろう。

今後は、similar functionsやメモリ管理に関連する他の機能についても、同様の脆弱性が存在する可能性を考慮した包括的な検証が必要となるだろう。特にシステムの基盤となるライブラリにおいては、セキュリティ監査の強化とコードレビューの徹底が求められている。

将来的には、メモリ管理機能に対する自動化された脆弱性検出システムの導入や、権限管理の細分化による影響範囲の制限なども検討する必要があるだろう。redoxOSコミュニティには、このようなセキュリティ強化への取り組みを継続的に行うことが期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2024-57492, (参照 25-03-26).
1074

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧