Dirty Pipeがセキュリティ界隈で話題ですね。
Linux に対して影響があるようで、気になったので調べてみました。
log4jの脆弱性といい、今年はセキュリティ関連の話題が尽きませんね。
端末が乗っ取られる脆弱性
Dirty Pipeが騒がれている理由ですが、端末を乗っ取られる可能性があるからのようですね。
技術的な用語を使うと、root権限を取られて、何でもできるようになります。
端末のパスワードを書き換えたり、データを抜き取られたり何でもありな状態になるわけですね。
恐ろしい。
スマホからPCをコントロールするデモが公開されて話題に
twitterでdirty pipeを利用したデモ動画が公開されていました。
スマホをタップするだけで、PCの端末に対して接続し、コマンドを実行しているのが分かります。
よくハッキングというと、高価な端末を揃えてめちゃくちゃ高度なツールを実行してというイメージが強いですが、条件さえ揃えば、スマホ程度の処理能力があれば乗っ取りが成功するようです。
脆弱性が公開されて数日で作り上げてしまうこの方もすごいですね~。
Dirty Pipe -> kernel r/w+selinux disabled+root shell on Pixel 6 Pro and Sasmsung S22 latest update :) pic.twitter.com/WwhwjLyU5q
— Fire30 (@Fire30_) 2022年3月14日
対処方法
対象方法ですが、LinuxOSのアップデートを実行すれば解決するようです。
すでにパッチが配布されているようなので、そちらを実行しましょう。
ubuntu の影響範囲についてはすでに公式さんが提供してくださっていました。
流石は安心と信頼のubuntuです。
最近のサーバーはアップデートの必要があるようですね。
bionicに関しては、影響が内容なので安心しました。