JVNDB-2026-012295

kernel.orgのutil-linuxにおける複数の脆弱性

util-linuxはLinuxのユーティリティのランダムなコレクションです。バージョン2.41.4以前のutil-linuxにおいて、SUIDバイナリの/usr/bin/mountにTOCTOU（チェック時と使用時の時間差）脆弱性が存在していました。mountバイナリはループデバイスを設定する際に、fork() + setuid() + realpath()を使用してユーザー権限でソースファイルパスを検証しますが、その後に両操作間でパスが置き換えられていないかを確認せず、root権限（euid=0）で再正規化して開きます。O_NOFOLLOW、inode比較、post-openのfstat()はいずれも使用していません。このため、ローカルの権限のないユーザーが競合状態の間にソースファイルを任意のroot所有ファイルまたはデバイスを指すシンボリックリンクに置き換えることが可能で、SUIDバイナリがrootとしてそれを開いてマウントしてしまいます。悪用にあたっては、user,loopオプションが設定されており、攻撃者が書き込み権限を持つディレクトリを指す/etc/fstabエントリと、さらに/usr/bin/mountにSUIDビットが設定されている必要があります（これはほぼすべてのLinuxディストリビューションのデフォルト設定です）。影響としては、root権限で保護されているファイルやブロックデバイスの無許可の読み取りアクセスが許され、その対象はバックアップイメージ、ディスクボリューム、および有効なファイルシステムを含む任意のファイルに及びます。この問題はバージョン2.41.4で修正されました。

kernel.org

• util-linux 2.41.4 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : TOCTOU Race Condition in util-linux mount(8) - Loop Device Setup  Advisory  util-linux/util-linux  GitHub

1. 不適切な権限管理(CWE-269) [その他]
2. Time-of-check Time-of-use (TOCTOU) 競合状態(CWE-367) [その他]
3. Time-of-check Time-of-use (TOCTOU) 競合状態(CWE-367) [NVD評価]
4. リンク解釈の問題(CWE-59) [その他]

1. CVE-2026-27456

1. National Vulnerability Database (NVD) : CVE-2026-27456
2. 関連文書 : Release v2.41.4  util-linux/util-linux  GitHub
3. 関連文書 : loopdev: add LOOPDEV_FL_NOFOLLOW to prevent symlink attacks  util-linux/util-linux@5e39046  GitHub

• [2026年04月24日]
    掲載