Dirtyfrag:全主要Linuxディストリビューションに影響するLPE——パッチなしで公開
Original: Dirtyfrag: Universal Linux LPE View original →
パッチなしで公開された脆弱性
Linuxカーネルの新たな脆弱性Dirtyfragが、責任ある公開プロセスが失敗した結果としてパッチもCVEも存在しない状態で公開された。非特権ユーザーがすべての主要Linuxディストリビューションでroot権限を取得できる深刻な脆弱性だ。
攻撃の仕組み
DirtyfragはLinuxカーネル内の2つの欠陥を連鎖させる。ESPパスはネットワークスタックのESP処理の脆弱性を悪用し/usr/bin/suのページキャッシュ先頭160バイトをrootシェルELFバイナリで上書きしPAM認証を完全にバイパスする。rxrcpフォールバックパスはrxrpc/rxkad認証の欠陥を悪用して/etc/passwdを改ざんしPAMのnullokフラグを悪用して資格情報なしでroot認証を通過する。
即時の緩和策
公式パッチが提供されるまで脆弱なカーネルモジュールを無効化することを推奨する:
printf 'install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
' > /etc/modprobe.d/dirtyfrag.conf影響範囲
Ubuntu、Debian、Fedora、Arch Linuxなどすべての主要ディストリビューションが影響を受ける。Linuxシステム管理者は公式パッチを待つ間上記の緩和策を直ちに適用することを強く推奨する。
Related Articles
Hacker Newsで注目されたChromeの安定版更新。GoogleはCVE-2026-2441(High、CSS use-after-free)を修正し、実際の悪用を認識していると公表した。
ハーバード医科大学とベス・イスラエル・ディアコネスがScienceに発表した研究で、OpenAI o1が実際の救急トリアージ76ケースの67%を正確に診断し、2名の内科専門医(55%・50%)を上回った。
Science誌に掲載された新研究によると、最先端のLLMは実際の救急室データと数百人の医師との比較実験において、診断選択・トリアージ・次のケア決定という主要な臨床タスクで人間の医師と同等またはそれを上回る成果を示した。研究者たちはAIが医師を代替するのではなく、協調ケアモデルへの統合を提言している。
Comments (0)
No comments yet. Be the first to comment!