米Red Hatは5月15日、Red Hat Enterprise Linux(RHEL)に存在する脆弱性の情報(CVE-2018-1111)と脆弱性を修正するパッチを公開した。脆弱性の影響度は「クリティカル」とされ、迅速なパッチ適用を呼び掛けている。
この脆弱性はGoogleのセキュリティ研究者が発見したもので、RHEL 6/7のDHCPクライアントパッケージにおけるNetworkManagerでのコマンドインジェクションの欠陥に起因する。悪意の細工がなされたDHCPサーバの使用もしくはローカルネットワークにいる攻撃者がDHCPの応答を偽装するなどの行為によって脆弱性が悪用され、NetworkManagerでroot権限による任意のコマンドが実行される可能性がある。
これにより、ネットワークの設定情報が不正に取得されるなどの影響を受ける恐れがある。攻撃者が取得した情報を別の攻撃に利用するといった事態も予想される。
同社は脆弱性の影響度を「クリティカル」、共通脆弱性評価システム(CVSS)バージョン 3による深刻度評価値を7.5(最大は10.0)とした。修正パッチはRHEL 6/7(z-stream)およびRHEL 7.2 Advanced Update Support、RHE 7.3/7.4のExtended Update Support、RHEL 6.4~6.6 Advanced Update Support、6.7 Extended Update Supportなどで提供されている。
なお、静的IPを利用する環境や、動的IPを利用していてもNetworkManagerやinitrc scriptsを使用していない環境では、この脆弱性による影響を受けないとしている。
脆弱性問題に関心がある一部のグループが、この脆弱性に「DynoRoot」という通称を与え、ロゴイラストも公開した。
