メインコンテンツにスキップ
ブログセキュリティLinodeセキュリティ・ダイジェスト 2022年5月23日~29日

Linode セキュリティダイジェスト 2022 年 5 月 23 日~29 日

Linode セキュリティダイジェスト

今週のダイジェストでは、Linux Perf サブシステムにおけるレースコンディション、BIND におけるサービス拒否、OWASP のリスク評価手法に基づくリスクアセスメントカルキュレータなどのトピックを紹介します。

Linux Perf サブシステムにおけるレースコンディション

LinuxにおけるPerfサブシステムは、ハードウェアおよびソフトウェアの性能分析・監視のためのフレームワークを提供する、カーネルベースのサブシステムです。元々はv2.6.31でLinuxカーネルにマージされ、カーネルサブシステムとのインターフェースとなるユーザースペースのユーティリティ(perf)を備えています。ユーザ空間のperfツールは、ハードウェアイベント(CPU内のレジスタで実行されるコンテキストスイッチや命令)とソフトウェアイベント(ソフトウェアカウンタやトレースポイントを通じて)を記録、カウント、bおよびサンプリングすることができます。

CWE-362に分類される脆弱性CVE-2022-1729は、perf_event_openシステムコールのレースコンディションで、Norbert Slusarek 氏により発見された脆弱性です。マニュアルページによると、「perf_event_open()の呼び出しは、パフォーマンス情報を測定できるファイルディスクリプタを作成 します。各ファイルディスクリプタは、測定される1つのイベントに対応します。"これらをグループ化して、複数のイベントを同時に測定することが可能です。

このレースコンディションは、カーネルv4.0-rc1 から存在しているようで、特権の昇格や任意のコードの実行につながる可能性があります。この脆弱性に対するパッチは、Linux カーネル5.17.10-rc1のリリースサイクルに含まれています。

さらに、RedHat 社による緩和策では、sysctl を使用してkernel.perf_event_paranoid変数を '3' に設定し、非特権ユーザーがカーネル内の Perf サブシステムにアクセスするのを制限することを提案しています。 

BINDにおけるサービス拒否

ISC は先週、BIND バージョン9.18.0から9.18.2および9.19開発ブランチのv9.19.0に影響を及ぼす深刻度の高い脆弱性についてセキュリティアドバイザリを公開しました。この脆弱性は、Thomas Amgarten氏によって発見されたもので、ネットワーク経由で悪用される可能性があり、ISCによるCVSSスコアは7.0とされています。

特定の状況下で悪用に成功すると、http TLS リスナーへのクライアント TLS 接続が早期に破壊された場合、named デーモンがアサーション失敗で終了します (サービス拒否につながります)。脆弱性のあるシステムは、DNS over HTTPS を有効にし、named コンフィギュレーションの listen-on 文に http への参照を含む BIND サーバーで構成されています。DNS over TLS を単独で使用する構成は、本アドバイザリによると、この脆弱性による影響を受けません。 

現在のところ、回避策はありませんが、ISC は、この問題を緩和するために、安定版ブランチのv9.18.3 および開発版ブランチのv9.19.1にそれぞれアップグレードすることを推奨しています。

リスクアセスメントカリキュレーター

脆弱性管理のライフサイクルでは、組織のインフラ に影響を及ぼす可能性のある新たな脆弱性に関連する技術的およびビジネス的な影響を見積もることが重要です。 

リスク評価の方法は、悪用される可能性、敵のスキルレベル、発見のしやすさなど、さまざまな要素を考慮する。 

OWASPによるそのような方法の1つは、これらの要因に基づいて全体的なリスクの深刻度を計算することです。

OWASPのリスク評価手法に基づいたIvan Markovic氏によるリスク評価計算機が、オープンソースツールとして公開されています。リスクは次のように計算されます。

リスク=可能性*影響

上記の計算式では、搾取の可能性は、関連する考慮事項をさらに考慮したいくつかの要因に依存します。

  • 脅威要因:スキルレベル、動機、機会、脅威要因の規模
  • 脆弱性の要因:発見と悪用のしやすさ、脆弱性の認知度、侵入検知システムによる悪用の検知。

同様に、脆弱性の全体的な影響に影響を与える要因には、以下のようなものがあります。

  • 技術的影響要因:脅威者の行動による機密性、完全性、可用性、説明責任の喪失。
  • ビジネス要因:財務的・評判的ダメージ、コンプライアンス違反、プライバシー侵害。

このように、脆弱性の総合的なリスクスコアによって、所有者は十分な情報に基づいた判断を下し、パッチの優先順位を決めることができます。

計算機のソースコードはgithubで公開されており、OWASPのリスク評価手法の詳細については、こちらでご覧いただけます。


コメント 

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。