JVNDB-2009-002360
|
Linux Kernel におけるカーネルメモリの格納場所にあるコンテンツを読み取られる脆弱性
|
|
Linux Kernel には、getname 関数内の特定のデータ構造が初期化されないため、カーネルメモリの格納場所にあるコンテンツを読み取られる脆弱性が存在します。
|
|
CVSS v2 による深刻度
基本値: 4.9 (警告) [NVD値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
Linux
- Linux Kernel 2.6.31-rc7 未満
ミラクル・リナックス
- Asianux Server 3.0
- Asianux Server 3.0 (x86-64)
レッドハット
- Red Hat Enterprise Linux 5
- Red Hat Enterprise Linux 3 (as)
- Red Hat Enterprise Linux 3 (es)
- Red Hat Enterprise Linux 3 (ws)
- Red Hat Enterprise Linux Desktop 3.0
|
|
|
ローカルユーザにより、下記のソケットについて getsockname を呼び出すことによってカーネルメモリの格納場所にあるコンテンツを読み取られる可能性があります。
・net/appletalk/ddp.c における atalk_getname 関数に関連した AF_APPLETALK ソケット
・net/irda/af_irda.c における irda_getname 関数に関連した AF_IRDA ソケット
・net/econet/af_econet.c における econet_getname に関連した AF_ECONET ソケット
・net/netrom/af_netrom.c における nr_getname 関数に関連した AF_NETROM ソケット
・net/rose/af_rose.c における rose_getname 関数に関連した AF_ROSE ソケット
・net/can/raw.c における raw_getname 関数に関連した生の CAN ソケット
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
Linux
ミラクル・リナックス
- MIRACLE LINUX アップデート情報 : 1835
レッドハット
|
|
- 情報漏えい(CWE-200) [NVD評価]
|
|
- CVE-2009-3002
|
|
- National Vulnerability Database (NVD) : CVE-2009-3002
- Secunia Advisory : SA36438
- SecurityFocus : 36176
- VUPEN Security : VUPEN/ADV-2009-2455
|
|
|
