パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Linuxカーネルに特権昇格の脆弱性「Dirty Pipe」が報告される」記事へのコメント

  • by annoymouse coward (11178) on 2022年03月11日 14時33分 (#4214060) 日記

    https://dirtypipe.cm4all.com/ [cm4all.com] にて、発見者の Max Kellermann 氏が詳細な報告をまとめてくれてます。

    彼が最初に不具合を遭遇したのは、2021年の4月。
    彼は CM4all と言うホスティングサービスの保守を担当しており、2021年4月に顧客からファイル破損のレポートを受け取ったそうです。
    何かおかしいと感じた彼は、その後3ヶ月間で37ファイルが破損するなどファイルが頻繁に破損していることを突き止め、
    カーネルの不具合を疑いはじめます。

    その後の試行錯誤を経て実証コードが完成したのが2022年02月19日。(技術的な詳細は割愛します。詳しくは彼の説明を読んでください)

    これはセキュリティホールでもあると言うことで 、2月20日に Linux kernel security team にレポートを送り、
    2月21日にセキュリティホールの詳細は伏せて、LKMLに修正パッチを投稿、
    2月23日にバグ修正版のlinux-5.16.11 がリリースされています。
    実証コードがしっかりしているので、レポートが送られてからリリースまで話がとんとん拍子に進んでいます。

    最初の不具合から約一年、地道な調査と修正パッチまで投稿してくれた Max Kellermann 氏の貢献はもっと多くの人に知られるべきです。
    興味がある人は是非 https://dirtypipe.cm4all.com/ [cm4all.com] で彼の報告を読みましょう。

    また今回の不具合はセキュリティホールだけでなく、ファイルの破損を引き起こします。

    ファイルが破損する条件も具体的に記載されていますので、気になる人はMax氏の報告に目を通しておくべきだと思います。

アレゲは一日にしてならず -- アレゲ見習い

処理中...