Linux向けのHDD暗号化機構に脆弱性、Enterキーを押し続けるだけでroot権限を取得
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
多くのLinuxディストリビューションで採用されている、ソフトウェアによるディスク暗号化機構を利用するためのCryptsetupというツールに脆弱性が確認された(ZDNet Japan)。
この脆弱性は暗号化パーティションをマウントするために必要なブート時のパスワード入力に連続で失敗することで、rootパスワードを入力せずにroot権限で起動されたシェルを操作できるようになってしまうというもの。暗号化されたパーティションにはアクセスできないが、それ以外のパーティションにはアクセスが可能になってしまう。脆弱性の発生原理はCVE-2016-4484: Cryptsetup Initrd root Shellというドキュメントで公開されているが、実装の不備によるもののようだ。
Linux向けのHDD暗号化機構に脆弱性、Enterキーを押し続けるだけでroot権限を取得 More ログイン