重要な脆弱性情報 脆弱性識別番号: - CVE-2018-14625 - CVE-2018-16882 - CVE-2018-18407 - CVE-2018-19407 - CVE-2018-19854 公開日: 2019年2月7日 影響を受けるパッケージ: linux-azure 脆弱性説明: - : アドレスファミリーの処理に競合条件が存在し、 が発生する可能性がある。ローカル攻撃者はゲストVM内でこの脆弱性を悪用して機密情報を漏洩させることができる。 - : LinuxカーネルのKVM実装において、割込み処理時に 脆弱性が存在する。攻撃者はこれを悪用してホストマシン上で管理権限(特権昇格)を獲得できる。 - : KVMの実装がソケットバッファの管理を適切に処理せず、バッファオーバーフローを引き起こす可能性がある。 - : ゲストOSがユーザーポートの誤った設定を試みるとき、KVMのIntel(x86)実装はEPT(拡張ページテーブル)フォルト処理においてローカルサービス拒否(DoS)脆弱性に起因する問題を示す可能性がある。 - : Linuxカーネルにおいて、特定のタスクが不適切に終了した場合、memcg(メモリコントロールグループ)の制約違反が生じ、ローカルなサービス拒否および情報漏えい(insider_infoleak_kmem_cgroup)を引き起こす可能性がある。 解決策: - システムを以下のパッケージバージョンに更新する: - : - : 4.18.0-1008.8 - : 4.18.0-1008.9 - 標準的なシステム更新の完了後、変更を適用するためにコンピュータを再起動する必要があります。 その他の注意事項: - 避けられないABI(Application Binary Interface)の変更により、カーネル更新には新しいバージョン番号が割り当てられました。このため、すべてのサードパーティ製カーネルモジュールを再コンパイルし、再インストールする必要があります。 - 標準カーネルが手動でアンインストールされていない限り、標準的なシステムアップグレードにより新しいカーネルが自動的にインストールされます。 関連通知: - USN-3901-1, USN-3901-2, USN-3879-1, USN-3879-2, USN-3878-1, USN-3872-1, USN-3872-1...