編集部からのお知らせ
新着記事まとめ:アジャイル開発が支えるDX
新しい働き方の関連記事はこちら

RHELにクリティカルレベルのコード実行の脆弱性、修正パッチが公開

ZDNet Japan Staff

2018-05-16 15:05

 米Red Hatは5月15日、Red Hat Enterprise Linux(RHEL)に存在する脆弱性の情報(CVE-2018-1111)と脆弱性を修正するパッチを公開した。脆弱性の影響度は「クリティカル」とされ、迅速なパッチ適用を呼び掛けている。

 この脆弱性はGoogleのセキュリティ研究者が発見したもので、RHEL 6/7のDHCPクライアントパッケージにおけるNetworkManagerでのコマンドインジェクションの欠陥に起因する。悪意の細工がなされたDHCPサーバの使用もしくはローカルネットワークにいる攻撃者がDHCPの応答を偽装するなどの行為によって脆弱性が悪用され、NetworkManagerでroot権限による任意のコマンドが実行される可能性がある。

 これにより、ネットワークの設定情報が不正に取得されるなどの影響を受ける恐れがある。攻撃者が取得した情報を別の攻撃に利用するといった事態も予想される。

 同社は脆弱性の影響度を「クリティカル」、共通脆弱性評価システム(CVSS)バージョン 3による深刻度評価値を7.5(最大は10.0)とした。修正パッチはRHEL 6/7(z-stream)およびRHEL 7.2 Advanced Update Support、RHE 7.3/7.4のExtended Update Support、RHEL 6.4~6.6 Advanced Update Support、6.7 Extended Update Supportなどで提供されている。

 なお、静的IPを利用する環境や、動的IPを利用していてもNetworkManagerやinitrc scriptsを使用していない環境では、この脆弱性による影響を受けないとしている。

 脆弱性問題に関心がある一部のグループが、この脆弱性に「DynoRoot」という通称を与え、ロゴイラストも公開した。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]