linux 2.4.28 リリース − 2.4.27 ま出に存在する脆弱性を修正
タレコミ by Henrich
Henrich 曰く、
2004年11月17日に、Linux kernel 2.4.27-rc3 、そして同日に 2.4.28 がリリースされた。
これに関し、iSEC Security Research の Paul Starzetz 氏が bugtraq などのセキュリティ系メーリングリストに投稿を行っている。
David S. Miller: o [AF_UNIX]: Serialize dgram read using semaphore just like streamこの changelog 中に記載されている David Miller 氏が行った 2.4.27 までに存在する unix_dgram_recvmsg() のシリアライズに関する問題の修正について、 Paul Starzetz 氏はこの問題を悪用することで権限の上昇が可能になると述べている。
同時に、この問題への攻撃自体は難しいものであるが可能ではあると述べ、可能な限り 2.4.28 への更新を呼びかけるものとなっている。
以前にも kernel の脆弱性を指摘していた氏の投稿だけに注意を払うに越したことは無い。 PoC コードなどが出回る前に可能な限り対応しておきたい。