The Hacker Newsは7月6日(現地時間)、「Researchers Uncover New Linux Kernel 'StackRot' Privilege Escalation Vulnerability」において、Linuxカーネルに深刻な脆弱性が発見されたと伝えた。新たに見つかった脆弱性は「StackRot」と名付けられており、現時点ではこの欠陥が悪用された形跡はないと報告している。
StackRotは「 CVE-2023-3269」として追跡されているLinuxカーネルの脆弱性。Linuxのバージョン6.1から6.4に影響を与える可能性があり、Red Hat Customer Portalによる共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3のスコア値では7.8と分類され、深刻度は重要(High)と評価されている。
セキュリティ研究者であるRuihan Li氏に発見されたこの欠陥は、Linuxカーネルのメモリ管理サブシステムで見つかった脆弱性とされ、ほとんどのLinuxカーネル構成に影響を与える可能性があるという。最小限の機能でカーネルを侵害できるため、悪用された場合、攻撃者に特権が昇格されてしまう危険性があり注意が必要。
この脆弱性の影響を受けるLinuxカーネルに対し、2023年7月1日からパッチが提供されている。またこの問題に関する完全な詳細および概念実証(PoC: Proof of Concept)に関しては2023年7月末までに公開される予定としている。
Linuxを使用しているユーザはカーネルバージョンを確認するとともに、StackRotの影響を受けていないカーネルに切り替えるか、パッチが適用されたカーネルに更新することが推奨されている。
