セキュリティ

SECURITY

公開：2024-09-19

Linux Kernelに新たな脆弱性、CVE-2024-45009によりDoS攻撃のリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Linux Kernelに不特定の脆弱性が存在
• CVSS v3による深刻度基本値は5.5（警告）
• Linux Kernel 5.10以上の特定バージョンが影響

Linux Kernelの新たな脆弱性によりDoS攻撃のリスクが浮上

Linux Kernelに不特定の脆弱性が存在することが明らかになった。この脆弱性は、Linux Kernel 5.10以上の特定バージョンに影響を与えており、攻撃者によってサービス運用妨害（DoS）状態に陥る可能性がある。National Vulnerability Database（NVD）によると、この脆弱性のCVSS v3による深刻度基本値は5.5（警告）と評価されている。^[1]

影響を受けるバージョンは、Linux Kernel 5.10以上5.15.167未満、5.16以上6.1.107未満、6.2以上6.6.48未満、6.7以上6.10.7未満、および6.11である。この脆弱性の特徴として、攻撃元区分がローカル、攻撃条件の複雑さが低、攻撃に必要な特権レベルが低、利用者の関与が不要という点が挙げられる。

ベンダーからは正式な対策が公開されており、Kernel.orgのgitリポジトリにパッチが提供されている。このパッチは「mptcp: pm: only decrement add_addr_accepted for MPJ req」というタイトルで、複数のバージョンに対応している。システム管理者は、ベンダー情報を参照し、適切な対策を実施することが推奨される。

Linux Kernel脆弱性の影響範囲と対策まとめ

CVSSについて

CVSSとは、Common Vulnerability Scoring Systemの略称で、情報システムの脆弱性の深刻度を評価するための業界標準指標である。主な特徴として、以下のような点が挙げられる。

• 0.0から10.0までの数値で脆弱性の深刻度を表現
• 攻撃の難易度や影響範囲など複数の要素を考慮
• ベースメトリクス、時間的メトリクス、環境的メトリクスの3つの指標で構成

本件のLinux Kernelの脆弱性では、CVSS v3による深刻度基本値が5.5と評価されている。この評価は、攻撃元区分がローカル、攻撃条件の複雑さが低、攻撃に必要な特権レベルが低、利用者の関与が不要といった要素を考慮して算出されたものだ。CVSSスコアは脆弱性の優先度付けやリスク管理に活用され、セキュリティ対策の指針となる重要な指標である。

Linux Kernelの脆弱性に関する考察

Linux Kernelの新たな脆弱性は、広範囲のバージョンに影響を与えているため、多くのLinuxシステムがリスクにさらされている可能性がある。この脆弱性がDoS攻撃を引き起こす可能性があることは、特にサーバーやクラウドインフラストラクチャにとって重大な懸念事項だ。ただし、攻撃元区分がローカルであることから、リモートからの攻撃リスクは比較的低いと考えられる。

今後の課題として、脆弱性の検出と修正のサイクルを短縮することが挙げられる。特に、長期サポート（LTS）バージョンのKernelを使用しているシステムでは、パッチの適用が遅れがちになる傾向がある。このため、自動化されたパッチ管理システムの導入や、セキュリティアップデートの重要性に関する組織内での啓発活動が必要になるだろう。

Linux Kernelの開発コミュニティには、今回のような脆弱性を早期に発見し、修正するためのコード審査プロセスのさらなる強化が期待される。また、ユーザー企業側も、定期的なセキュリティ評価の実施や、重要なシステムの冗長化など、DoS攻撃への耐性を高める対策を講じる必要があるだろう。今後、AIを活用した脆弱性検出技術の発展により、こうしたセキュリティリスクの早期発見と対応が進むことが期待される。

参考サイト

1. ^ JVN. 「JVNDB-2024-008243 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-008243.html, (参照 24-09-19).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧