CVE-2023-32233

CVE-2023-32233はLinux kernelの中の機能に関する脆弱性の番号です。

Linux kernelの中にはさまざまな機能が実装されていて、その一つにNetfilterというものがあります。
Netfilterはパケットフィルタリング、ネットワークアドレス変換、ポート変換のためのさまざまな機能と操作を提供するkernel moduleです。
ネットワークスタックにコールバック関数を登録できるようにするLinux kernel内の一連のフックとして利用することができるものです。

このNetfilterの2つの機能を組み合わせて誤用することで開発者の意図しない動作を実現することが確認されています。
ローカルの非特権ユーザがこのNetfilterの機能を悪用することによってカーネルメモリ上で任意の読み取りおよび書き込み操作が実行できてしまいます。
この問題を使ってローカルの非特権ユーザが特権ユーザであるrootに昇格できるようにする概念実証コードが作成されています。

この問題はLinux kernelの広い範囲に影響します。
しかしこの問題の修正そのものはすでに実施されていてkernelのリポジトリに反映されています。
メンテナンス中のLinux kernelの各バージョンに対して今後順次この問題に対応したものがリリースされていくことになります。

そして公開されるのは対策済みのkernelだけではありません。
例えば今回のこの脆弱性の情報はlinux-distrosというメーリングリスト上で共有されてきました。
このメーリングリストの規約では所定の期日で脆弱性に関連する情報を公開することが必要とされています。
今回の件についても5月15日には悪用手法の説明と悪用ソースコードの両方が公開される予定となっています。

このように私たち利用者が知っているかどうかに関係なく、日々脆弱性が発見されていきますし、その修正情報やその悪用に関する詳細情報が公開されていきます。
タイムリーに更新を適用していく運用が継続できている限り通常は問題とはなりませんが、しかるべき運用を実施できていない環境はいつの間にか脆弱な状態となってしまいます。

こういった情報にも目を通しつつ、日々堅実に運用していこうと思います。

参考記事（外部リンク）：[CVE-2023-32233] Linux kernel use-after-free in Netfilter
nf_tables when processing batch requests can be abused to perform arbitrary
reads and writes in kernel memory
seclists.org/oss-sec/2023/q2/133