
2026/07/08 22:24
OpenBSD の Use-After-Free によるローカル特権昇格 (root) が発生した
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
重要な情報により、OpenBSD 7.9 までのバージョンが、
sys/kern/sysv_sem.c ファイル内の sys_semget() 関数、特に tsleep 呼び出しの後に存在する深刻な「解放後の使用」(use-after-free)脆弱性に影響を受けていることが示されました。この欠陥により、ローカルユーザーはルート権限への直接の権限昇進が可能になります。MITRE はこの弱点を CWE-416(Use After Free)として特定しました。公式の NIST 重症度評価および CVSS ベクトル文字列は現在待定ですが、修正コードは https://github.com/openbsd/src/commit/1957873d2063db11dab780eca75b5e629d1e838d で利用可能です。管理者は OpenBSD のバージョンを確認し、このパッチ済みコードを直ちに適用することを推奨されます。外部の警報や商産製品への言及は支援または推奨を示すものではなく、さらに更新を行う場合は NVD プラットフォームの変更履歴記録の監視が必要となる可能性があります。
Text to translate:
Critical information indicates that OpenBSD versions up to 7.9 are affected by a severe "use-after-free" vulnerability located in the
sys/kern/sysv_sem.c file, specifically within the sys_semget() function following a call to tsleep. This flaw enables local privilege escalation directly to root. The weakness is identified as CWE-416 (Use After Free) by MITRE. While an official NIST severity rating and CVSS vector string are currently pending, a fix commit has been made available at https://github.com/openbsd/src/commit/1957873d2063db11dab780eca75b5e629d1e838d. Administrators are advised to verify their OpenBSD version and apply this patched code immediately. Note that references to external advisories or commercial products should not be interpreted as endorsements, and further updates may require monitoring the change history records on the NVD platform.本文
OpenBSD sys_semget() 関数の使用後解放(Use-After-Free)脆弱性
概要
- 発見された脆弱性: OpenBSD の
ファイルにおいて、バージョン 7.9 まで**「free 後の使用**(Use-After-Free)という脆弱性が確認されました。sys/kern/sysv_sem.c- 発生箇所:
関数内のsys_semget()
処理後に発生するコンテキストスイッチ時。tsleep()
- 発生箇所:
- 影響: この不具合により、ローカル特権の昇格が可能となるリスクがあります。
CVSS スコアと評価状況
- NVD / NIST の現状: CVSS 4.0 セverity とベクター文字列の評価はまだ未発表です。
- 参照される情報源:
- 米国国立標準技術研究所(NIST)の脆弱性情報データベース(NVD)。
- 他の情報源から提供された CVSS スコアリングシステムの情報。
関連リンクと警告事項
| カテゴリ | URL / ソース |
|---|---|
| コミット履歴 | GitHub: OpenBSD src commit |
| MITRE | MITRE(詳細未明) |
| OpenAI | Patch the Planet |
⚠️ 重要事項:
- 外部リンクをクリックすると NIST ウェブサイト以外へ移動します。
- 引用されているウェブサイトの内容について、NIST が必ずしも賛同しているわけではありません。また、各サイトの内容が事実と一致するとは限りません。
- 言及されるいかなる商用製品についても、NIST は推奨・承認していないことに留意してください。
- ご意見は email@nvd.nist.gov までご連絡ください。
脆弱性分類(Weakness Enumeration)
- CWE-ID: CWE-416
- CWE 名称: Use After Free
- ソース: MITRE
変更履歴
- 今回、3 件の変更記録が発見されました。