Dirty Pipe(CVE-2022-0847)という脆弱性が2022年3月7日に公開されました。
この脆弱性はLinux Kernel に含まれるもので、パイプの初期化処理に問題があり、ページキャッシュの内容を任意に書き換えることができるとのことです。その結果、キャッシュの内容をファイルシステムに書き込むことで、特権ユーザを作成しルート権限を得ることができます。
Android端末を含む全てのLinuxでは、カーネルバージョンを確認しアップデートをしましょう。
なお、対象になるカーネルバージョンは、5.10以上です。5.8以下ではこの脆弱性は含まれていないそうです。
| 対象バージョン | 修正済バージョン | 脆弱性を含むバージョン |
|---|---|---|
|
5.10系
|
5.10.102
|
5.10.102未満
|
|
5.15系
|
5.15.25
|
5.15.25未満
|
|
5.16系
|
5.16.11 |
5.16.11未満
|
AWS EC2 東京リージョンで、本日(2022-03-10)時点に新規に作成するAmazon Linux 2 は既に対処済であることを確認しました。
AMI: amzn2-ami-kernel-5.10-hvm-2.0.20220218.3-x86_64-gp2
$ uname -a Linux ip-10-1-1-243 5.10.102-99.473.amzn2.x86_64 #1 SMP Wed Mar 2 19:14:12 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux
修正済バージョンである5.10.102 となっています。