Linuxカーネルの「ksmbd」に深刻なセキュリティ脆弱性

今回は「Linuxカーネルの「ksmbd」に深刻なセキュリティ脆弱性」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Linuxのシステム管理者であれば誰しもが、ホリデーシーズン目前に、Linuxカーネルに深刻なセキュリティ脆弱性が発見されたというニュースは目にしたくはないはずだ。とは言うものの、トレンドマイクロが運営する脆弱性発見コミュニティーであるZero Day Initiative(ZDI)は米国時間12月22日、Linuxカーネルに潜むセキュリティ脆弱性を発見したと報告した。この脆弱性を悪用することで、認証されていないリモートユーザーであっても機密情報を窃取したり、脆弱性を抱えたシステム上でコードを実行できるようになる。

 では、その深刻度はどの程度なのだろうか。ZDIは、0から10までの「共通脆弱性評価システム」(CVSS)で最高スコアの10と評価しており、あらゆるLinuxサーバーに対して「パッチを適用せよ!今すぐに適用せよ!」というレベルの脆弱性となっている。

 この脆弱性は、Linuxカーネルの「バージョン5.15」に組み込まれているSMB(Server Message Block)サーバーである「ksmbd」内に存在している。具体的には、「SMB2_TREE_DISCONNECT」コマンドの処理において、オブジェクトの操作を実行する前に該当オブジェクトの存在を検証していないところに根本的な問題がある。そしてこの脆弱性を悪用することで攻撃者は、カーネルコンテキストでコードを実行できるようになる。

 2021年にカーネルに導入されたksmbdは、「SMB3」によるファイルのやり取りを高速化するという目的のモジュールであり、サムスンによって開発されたものだ。「Windows」で使用されているSMBとLinuxがやり取りするには、Sambaというファイルサーバープロトコルの仲介が不可欠となっている。ksmbdの目的は、既存のSambaモジュールを置き換えるのではなく、それを補完することにある。Sambaとksmbdの開発者らは、これらのモジュールが協調して動作するように取り組んでいる。

 とは言うものの、Sambaの共同クリエイターであるJeremy Allison氏は「ksmbdは製品版のSambaとコードを共有しているわけではなく、ゼロから開発されている。このため、現在の状況はユーザーのシステム上で稼働している可能性のあるSambaファイルサーバーとはまったく関係がない」とコメントしている。

 Linuxカーネルのバージョン5.15以降を使用しているすべてのディストリビューションは、今回の脆弱性を抱えている可能性がある。これには「Ubuntu 22.04」以降と、「Deepin 20.3」「Slackware 15」が含まれている。サーバー目的で普及しているという点で、Ubuntuが最も懸念される。なお、「Red Hat Enterprise Linux」(RHEL)ファミリーといったその他の法人向けディストリビューションでは、Linuxカーネルのバージョン5.15は採用されていない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
グーグルとアマゾンの決算にみる、それぞれのクラウドの業績や位置づけ
IT関連
2021-02-03 01:43
石川県の恵寿総合病院、リモートアクセスのシステムにゼロトラスト型セキュリティを導入
IT関連
2024-05-22 06:39
大塚商会が決算発表–「大戦略II」で今後の成長を継続
IT関連
2022-02-03 13:19
エクイニクス、港区に最新データセンター–低遅延、高電力密度でHPC、AIに対応
IT関連
2024-10-11 21:23
鹿島建設、「楽楽明細」でコスト削減と業務効率化–約20年の自社システムから移行
IT関連
2024-09-03 16:28
「業務ソフト×生成AI」はマスト–その先にある競争優位とは何か
IT関連
2023-09-15 06:07
LANケーブル1本で「ラズパイ」の通信と給電をまかなうアドオンボードに新製品 30W出力でラズパイ4でも安定動作
企業・業界動向
2021-05-26 20:34
オープンソースのプラネタリウムソフト「Stellarium」が20年を超える開発期間を経てバージョン1.0に到達
おもしろ
2022-10-04 05:46
リコーと九州大学共同開発によるフィルム形状の有機薄膜太陽電池のサンプルが9月提供開始、「充電のない世界」目指す
EnviroTech
2021-08-20 09:37
リモート試験の監視システムには「さらなる透明性が必要」と米上院議員が指摘
EdTech
2021-01-21 18:41
[速報]マイクロソフト、手書きのスケッチをAIでアプリ画面に手軽に変換できる「Power Apps Express design」発表。Microsoft Build 2022
Microsoft
2022-05-25 21:55
生成AIシステム用のセキュリティ対策を提供–イスラエル発のKELA
IT関連
2024-04-21 03:32
買収意欲旺盛な宇宙インフラ企業RedwireがSPAC経由で株式公開へ
宇宙
2021-03-27 00:11
ワークデイ、人事管理や財務に生成AIを組み込み–「人間を置き換えることはない」と首脳陣
IT関連
2023-09-30 15:55