CVE-2014-3153
読み:スィーヴィーイー-にーゼロいちよん-さんいちごーさん
外語:CVE-2014-3153
Linuxカーネルに存在した脆弱性の一つ。futex_requeue 関数における権限昇格の脆弱性。
概要
MITRE社の脆弱性情報データベースCommon Vulnerabilities and Exposures(CVE)に登録されている脆弱性の一つ。
これは、futex の脆弱性により、ログイン可能な一般ユーザーが権限を取得することが可能なセキュリティホールである。
- 影響: Linux Kernel ?.? ‐ 3.14.5
- 他の符号
特徴
問題
原因
kernel/futex.c の futex_requeue() 関数は、コールが二つの異なるfutexアドレスを持つことを確認していない。
このため権限を取得される脆弱性が存在した。
修正
kernel/futex.c で、アドレスを確認するようにした。
修正は「futex-prevent-requeue-pi-on-same-futex.patch futex: Forbid uaddr == uaddr2 in futex_requeue(..., requeue_pi=1)
」と題されている。
再検索