Linux Kernel udp_sendmsg() MSG_MORE Flagにおけるローカル権限昇格の脆弱性検証メモ

Linux Kernelのudp_sendmsg()におけるNull Pointor参照外しの脆弱性（CVE-2009-2698）の検証を行いました。
検証を行った対象OSは。
RedHat EL 5(2.6.18.8.el5)
です。

この脆弱性を利用することで一般ユーザからrootへと権限昇格を行うことが可能であるか否かの検証結果は以下の通りです。
[test@localhost ~]$ uname -a
Linux localhost.localdomain 2.6.18-8.el5 #1 SMP Fri Jan 26 14:15:21
EST 2007 i686 i686 i386 GNU/Linux
[test@localhost ~]$
[test@localhost ~]$ cat /etc/redhat-release
Red Hat Enterprise Linux Server release 5 (Tikanga)
[test@localhost ~]$ id
uid=501(test) gid=503(test) 所属グループ=503(test)
context=root:system_r:unconfined_t:SystemLow-SystemHigh
[test@localhost ~]$
[test@localhost ~]$ ./CVE-2009-2698_exp
sh-3.1#
sh-3.1# id
uid=0(root) gid=0(root) 所属グループ=503(test)
context=root:system_r:unconfined_t:SystemLow-SystemHigh
sh-3.1#

上記に示したとおり、「test」ユーザから「root」ユーザへと権限昇格することに成功しました。

影響を受けるKernelは
Linux Kernel 2.6.18.8 以前の2.6系Kernel
とのことです。

システムへのログイン後にのみ利用可能な脆弱性となりますが、影響を受けるバージョンをお使いの場合は可能な限り早急に各種ベンダーからリリースされている修正パッチを適用されることが推奨されます。
運用上の理由などにより、上記対策を行うことができない場合は、今一度リモートログイン可能なユーザの中に脆弱なパスワードが設定されているユーザがシステム上に存在しないかどうかの確認を行い、存在する場合は、強固なパスワードを設定してください。また、不要なユーザが存在する場合には直ちに削除を行うといった回避策を講じてください。
ただし、正規のログインユーザによる攻撃、つまり、内部犯行を行われた場合には、上記対策は回避策とはならないためアップグレードという根本的対策を講じるスケジュールを明確にすることが推奨されます。

ここのところKernelの脆弱性を利用したExploitが立て続けにリリースされているように感じます。ここで紹介していないものでメモリ情報の一部を漏洩させることのできるようなものいくつかリリースされています。権限が低い一般ユーザであってもローカルにログインされてしまうと、このような脆弱性を利用することでroot権限を奪取され、より大きな被害を招く恐れがありますので注意が必要です。