http://www.itmedia.co.jp/enterprise/articles/1305/16/news030.html Linuxに権限昇格の脆弱性が見つかったとして、米国立標準技術研究所(NIST)が脆弱性情報を公開した。
米セキュリティ機関のSANS Internet Storm Centerによれば、既にこの脆弱性を突くエクスプロイトコードも
出回っているという。
NISTが5月14日に公開したセキュリティ情報によると、脆弱性はLinuxカーネルの「kernel/events/core.c」に
おける「perf_swevent_init」機能に不適切な整数値が使われていることに起因する。影響を受けるのは3.8.9まで
のLinuxカーネル。この問題を利用すると、ローカルユーザーが細工を施したperf_event_openシステムコールを
使って権限を取得できてしまう恐れがあるという。
危険度は共通指標のCVSSベーススコアで「高」を意味する7.2(最高値は10.0)と評価している。
SANSによれば、脆弱性はカーネルをPERF_EVENTSでコンパイルした場合に発生する。これは相当数の
Linuxディストリビューションに当てはまるようだとSANSは伝えている。