Linux glibcに新たな脆弱性、主要ディストリビューションでのroot奪取が可能になる恐れ:CVE-2023-6246 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Linux glibcに新たな脆弱性、主要ディストリビューションでのroot奪取が可能になる恐れ:CVE-2023-6246

Threat Report

Silobreaker-CyberAlert

Linux glibcに新たな脆弱性、主要ディストリビューションでのroot奪取が可能になる恐れ:CVE-2023-6246

佐々山 Tacos

佐々山 Tacos

2024.01.31

Linux glibcの新たな脆弱性により、主要ディストリビューションでのroot奪取が可能になる恐れ:CVE-2023-6246

(情報源:Security Affairs – January 30, 2024

GNU Library C(glibc)におけるローカル特権昇格(LPE)の脆弱性CVE-2023-6246を、Qualysの研究者が発見。これはglibcのsyslog関数におけるヒープベースのバッファオーバーフローに起因するもので、攻撃者に悪用されればroot権限の奪取が可能になる恐れがある。

CVE-2023-6246:2022年8月から存在するLPEの脆弱性

Qualysによれば、同脆弱性は2022年8月のバージョン 2.37からglibcに入り込み、別の脆弱性CVE-2022-39046の修正に関連してglibc 2.36にもバックポートされているという。関連するロギング関数を用いるアプリケーションへ細工した入力値を提供することでこの脆弱性が生じるが、リモートでの悪用はできないとされる。

複数のディストリビューションが影響受ける恐れ

glibcは、LinuxやUnixのようなOSに不可欠なシステムサービスを提供する無料のソフトウェアライブラリであり、大多数のLinuxディストリビューションがCVE-2023-6246の影響を受けることが懸念される。Qualysは既に、Debian(バージョン12、13)、Ubuntu(23.04、23.10)、Fedora(37〜39)が脆弱であることをテスト済みだという。同社はこのほか、別の問題数件についても報告している:

・qsortにおけるメモリ破損の問題

・CVE-2023-6779(off-by-oneのヒープバッファオーバーフロー)

・CVE-2023-6780(整数オーバーフロー)

1月31日: その他のサイバーセキュリティ関連ニュース

米政府、重要インフラ狙う中国のハッキングネットワークを無効化

Reuters – January 30, 2024

ロイター通信は30日、米国政府がここ数か月の間に中国のハッキングオペレーションに対抗するための作戦を開始したとする情報筋の話を伝えた。これはハッキンググループVolt Typhoonを中心とした広範なサイバーオペレーションで、これまでにインターネットに接続されたデバイス数万台が侵害されているという。

Volt Typhoonは2023年5月に初めて明るみに出たグループで、西側諸国の軍港やインターネットサービスプロバイダー、公共事業といった重要インフラを狙ってサイバースパイ活動などを実施してきたとされる。

国家安全保障の専門家によれば、こうした活動により中国は、インド太平洋地域において何らかの形で米軍の作戦を支援している重要施設の機能を遠隔で妨害することができるようになる可能性があるという。

情報筋がロイター通信に伝えたところによれば、米司法省およびFBIは今回、この中国のハッキングキャンペーンの一部をリモートで無効化するための法的許可を与えられたとのこと。

テイラー・スウィフトのディープフェイク画像が拡散 政界はディープフェイク規制の法整備を要求

MalwareBytes – January 30, 2024

米国の人気歌手テイラー・スウィフトのディープフェイク画像が大きな波紋を呼んでいる。人工知能(AI)で生成され、ソーシャルメディアやTelegramに投稿されたスウィフトの性的な画像は、削除されるまでの短時間で閲覧数が数百万に到達。X(旧Twitter)やInstagramでは、テイラー・スウィフトの名前と一部の関連語句を検索できないようブロックする措置が講じられた。

今回の偽画像があまりにも大きな騒動となったため、米国では一部の政治家がディープフェイク作成を禁止する法律の制定に向けた動きを加速させている。同国では2019年、民主主義を根底から覆す可能性があるとして、十数州と連邦議会がディープフェイク規制に関する法案を提出。現在では多くの国と同様、一部の州でディープフェイク作成が禁じられているものの、ディープフェイク画像の共有および作成を禁止する連邦法はまだ制定されていない。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ