Google は、タイムリーな修正の発行に失敗した後、CentOS Linux カーネルの脆弱性を開示します

Google Project Zero は、Google 自身の製品だけでなく、他のベンダーが開発したソフトウェアのセキュリティ上の欠陥を発見することを担当するセキュリティ チームです。発見後、問題は非公開でベンダーに報告され、報告された問題を修正するための 90 日間が与えられた後、公開されます。場合によっては、関連するソリューションの複雑さに応じて、14 日間の猶予期間が与えられることもあります。

Google、Microsoft、Qualcomm、Appleなどによって開発されたソフトウェアの脆弱性が報告されているため、過去に Google Project Zero の調査結果を広く取り上げてきました。現在、セキュリティ チームは、CentOS のカーネルにいくつかの欠陥があることを報告しています。

こちらの技術文書で詳しく説明されているように、Google Project Zero のセキュリティ研究者である Jann Horn は、安定したツリーに加えられたカーネル修正が Linux の多くのエンタープライズ バージョンにバックポートされていないことを発見しました。この仮説を検証するために、Horn は CentOS Stream 9 カーネルを安定版の linux-5.15.y 安定版ツリーと比較しました。ご存じない方のために説明すると、CentOS は Red Hat Enterprise Linux (RHEL) に最も近い Linux ディストリビューションであり、そのバージョン 9 は linux-5.14 リリースに基づいています。

予想通り、CentOS Stream/RHEL のサポートされている古いバージョンでは、いくつかのカーネル修正が展開されていないことが判明しました。Horn 氏はさらに、この場合、Project Zero は修正をリリースする期限を 90 日間与えていますが、将来的には、バックポートの欠落に対してさらに厳しい期限を割り当てる可能性があると述べました。

今回は通常の 90 日間の締め切りでこのバグを報告します。これは、現在、セキュリティ フィックスがバックポートされていない場合について、これより厳密なポリシーが定められていないためです。今後、この種の問題の取り扱いを変更する可能性があります。

上流の Linux やあなたのようなディストリビューションが、セキュリティ修正を同期させておくための何らかの解決策を見つけられるとよいでしょう。そうすれば、攻撃者が CentOS/RHEL のメモリ破損のバグをすぐに見つけたいと思っても、そのようなバグを見つけられなくなります。アップストリームの安定版とカーネルの間のデルタのバグ。（ここにはおそらく多くの歴史があると思います。）

Red Hat は Horn から報告された 3 つのバグすべてを受け入れ、CVE 番号を割り当てました。しかし、同社は割り当てられた 90 日間のタイムラインでこれらの問題を修正できなかったため、これらの脆弱性は Google Project Zero によって公開されています。大まかな詳細を以下に示します。

• CVE-2023-0590:競合状態、中程度の重大度、ローカル攻撃ベクトルによる Linux カーネルの解放後使用の欠陥
• CVE-2023-1252: Linux カーネルの Ext4 ファイル システムの Use-after-free 脆弱性により、攻撃者がシステムをクラッシュさせたり、権限をエスカレートしたりできるようになり、重大度は中程度、ローカル攻撃ベクトル
• CVE-2023-1249: Linux カーネルのコア ダンプ サブシステムの Use-after-free の脆弱性。悪用は困難ですが、攻撃者がシステムをクラッシュさせる可能性があります。重大度は低く、ローカルの攻撃ベクトルです。

特定の Linux カーネルにおけるこれらのセキュリティ上の欠陥の詳細が公開された今、Red Hat がそれらをできるだけ早く修正するよう圧力をかけられるかどうかはまだ分からない.