Linux Kernelの複数の脆弱性情報(Moderate: CVE-2019-15211, CVE-2019-15212, CVE-2019-15213, CVE-2019-15214)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

08/21/2019にLinux Kernelの複数の脆弱性情報(Moderate: CVE-2019-15211, CVE-2019-15212, CVE-2019-15213, CVE-2019-15214)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


(注) この記事はこちらの記事にマージします。




Priority

  • CVE-2019-15211
    • SuSE
    • Red Hat Customer Potal
      • CVSS v3 Base Score: 7.3 (Moderate)
      • Vector: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:L
    • NVD
  • CVE-2019-15212
    • SuSE
    • Red Hat Customer Potal
      • CVSS v3 Base Score: 6.1 (Moderate)
      • Vector: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
    • NVD
  • CVE-2019-15213
    • SuSE
    • Red Hat Customer Potal
      • CVSS v3 Base Score: 6.1 (Moderate)
      • Vector: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
    • NVD
  • CVE-2019-15214
    • SuSE
    • Red Hat Customer Potal
      • CVSS v3 Base Score: 6.1 (Moderate)
      • Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H
    • NVD

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15211
    • use-after-freeの可能性
    • 重要度 - Moderate
    • 5.2.6より前のLinux Kernelでは、drivers/media/radio/radio-raremono.c でメモリをきちんとアロケートしていなかったため、悪意のあるUSBデバイスドライバ(drivers/media/v4l2-core/v4l2-dev.c)によりuse-after-freeが引き起こされる可能性があります。
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15212
    • double-freeの可能性
    • 重要度 - Moderate
    • 5.1.8より前のLinux Kernelでは、drivers/usb/misc/rio500.cドライバに、悪意のあるUSBデバイスがdouble-freeを引き起こす事が出来る可能性が有馬す。
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15213
    • use-after-freeの可能性
    • 重要度 - Moderate
    • 5.2.3より前のLinux Kernelでは、drivers/media/usb/dvb-usb/dvb-usb-init.c で、悪意のあるUSBデバイスによりuse-after-freeが引き起こされる可能性があります。
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15214
    • use-after-freeの可能性
    • 重要度 - Moderate
    • 5.0.0より前のLinux Kernelでは、sound/core/init.c and sound/core/info.cに関係してカードの切断時に構造体の削除が早すぎるため、サウンドサブシステムでuse-after-freeを引き起こす事ができる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、OSの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


セキュリティ系連載案内


セミナー情報1

コンピュータセキュリティシンポジウム2019(長崎)が2019年10月21日(月) ~ 10月24日(木)で開催されます。

こちらですが、OSSセキュリティ技術の会も後援になっており、オープンソースソフトウェア(OSS)セキュリティ技術トラック(略称:OWSトラック) も用意しております。

セミナー情報2

"distro info": vol.1 と題しまして、各種ディストリビューションの情報を関係者から直接お届けするイベント「distro info」が開催されます。

今回は、先日リリースされたDebian10について、Debianの概要から含めての説明〜Debian10での特徴の紹介をします。ざっくり概要を把握されたい方から、発表者に確認の質問をしてみたい方までどうぞご参加下さい。

また、先月末にブラジルでDebian Conferenceが行われましたのでその紹介を行います。「Debianのカンファレンスってこんなのなんだな」というのを現地エピソードなど交えてお話します。


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

Keycloakの複数の脆弱性情報(Important: CVE-2019-10201, Moderate: CVE-2019-10199)

次へ

Linux KernelのUSBに関する脆弱性情報(CVE-2019-15211,CVE-2019-15212,CVE-2019-15213,CVE-2019-15214,CVE-2019-15215,CVE-2019-15216,CVE-2019-15217,CVE-2019-15218,CVE-2019-15219,CVE-2019-15220,CVE-2019-15221,CVE-2019-15222,CVE-2019-15223,CVE-2019-15290,CVE-2019-15291)