Dirty COW (CVE-2016-5195)
Dirty COW (CVE-2016-5195) とは何ですか?
Dirty COW (CVE-2016-5195)2016 年に公表された Linux カーネルのメモリマッピング copy-on-write 処理におけるレース条件。ローカルユーザーが読み取り専用ファイルへ書き込み、root 権限を得られた。
Dirty COW(CVE-2016-5195)は Linux カーネルのメモリサブシステムに存在するレース条件で、2007 年から 2016 年までのほとんどのカーネルバージョンに影響しました。攻撃者はカーネルの copy-on-write ロジックと madvise/MADV_DONTNEED を繰り返し競合させ、最終的にプライベートマッピングへの書き込みが背後の読み取り専用ファイルに反映されるようにします。書き込み可能な suid バイナリや /etc/passwd と組み合わせれば、安定したローカル root 昇格となります。サーバー、デスクトップ、組み込み機器、Android に影響し、Android マルウェア ZNIU など実際の攻撃でも使用されました。対策は、修正済みカーネル(4.8.3、4.7.9、4.4.26、またはディストリビューションの該当パッチ)への更新、Android では 2016 年 11 月のセキュリティパッチレベル適用です。
● 例
- 01
ローカルユーザーが Dirty COW で /etc/passwd を書き換え、root アカウントを追加する。
- 02
Android マルウェア ZNIU が Dirty COW で端末を root 化し、バックドアを設置する。
● よくある質問
Dirty COW (CVE-2016-5195) とは何ですか?
2016 年に公表された Linux カーネルのメモリマッピング copy-on-write 処理におけるレース条件。ローカルユーザーが読み取り専用ファイルへ書き込み、root 権限を得られた。 サイバーセキュリティの 脆弱性 カテゴリに属します。
Dirty COW (CVE-2016-5195) とはどういう意味ですか?
2016 年に公表された Linux カーネルのメモリマッピング copy-on-write 処理におけるレース条件。ローカルユーザーが読み取り専用ファイルへ書き込み、root 権限を得られた。
Dirty COW (CVE-2016-5195) からどのように防御しますか?
Dirty COW (CVE-2016-5195) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Dirty COW (CVE-2016-5195) の別名は何ですか?
一般的な別名: CVE-2016-5195, Linux COW レース。