Ubuntu／RHEL／Fedora のコアダンプに問題：Linux 上の機密情報の抽出の恐れ

New Linux Flaws Allow Password Hash Theft via Core Dumps in Ubuntu, RHEL, Fedora

2025/05/31 TheHackerNews — Ubuntu／Fedora／Red Hat Enterprise Linux のコアダンプ・ハンドラである apport と systemd-coredump に、２件の情報漏洩の脆弱性が存在することが、Qualys の Threat Research Unit (TRU) により特定された。

この２つの脆弱性 CVE-2025-5054／CVE-2025-4598 は、いずれも競合状態を引き起こすバグであり、ローカルの攻撃者に対して、機密情報へのアクセスを許す可能性がある。Linux システムにおける、クラッシュ・レポートやコアダンプを処理するように設計されているのが、apport や systemd-coredump などのツールである。

Qualys TRU の Manager of Product である Saeed Abbasi は、「これらの競合状態により、ローカルの攻撃者は SUID (Set User ID) プログラムの悪用を達成し、生成されたコアダンプに対する読取アクセス権を取得する」と述べている。

この２つの脆弱性について、以下に簡単に説明する：

CVE-2025-5054 (CVSS：4.7)：Canonical apport パッケージ 2.32.0 以下に存在する競合状態の脆弱性。名前空間を悪用するローカル攻撃者が、PID (Process ID) の再利用を介して、機密情報を漏洩させる可能性がある。

CVE-2025-4598 (CVSS：4.7)：systemd-coredump に存在する競合状態の脆弱性。SUID プロセスを強制的にクラッシュさせる攻撃者は 、非 SUID バイナリの置き換えを行い、元の特権プロセスのコアダンプにアクセスする。それにより、オリジナル・プロセスによりロードされた、”/etc/shadow” の内容などの機密データの読取りを可能にする。

SUID (Set User ID) は、ユーザーが自身の権限ではなく、所有者の権限でプログラムを実行するための特別なファイル権限である。

Canonical の Octavio Galland は、「アプリケーションのクラッシュを分析する際に、クラッシュの原因となったプロセスが、コンテナ内で実行されていたかどうかを apport は検出する。その後に、対象となるプロセスに対して整合性チェックを実行する」と述べている。

彼は、「つまり、ローカル攻撃者が特権プロセスでクラッシュを誘発し、マウントと PID の名前空間内にある。同じプロセス ID を持つ別のプロセスに素早く置き換えた場合に、apport はコアダンプを名前空間に転送しようとする。したがって、元の特権プロセスに属する機密情報が、そこに含まれる可能性が生じる」と指摘している。

Red Hat は、脆弱性 CVE-2025-4598 の深刻度を Medium と評価した理由として、この脆弱性を悪用するエクスプロイトの実行が複雑なことを挙げている。攻撃者は、その前提条件として、最初に競合状態を回避し、権限のないローカル・アカウントを所有する必要があると指摘している。

Red Hat が提示する緩和策は、root ユーザーとして “echo 0 > /proc/sys/fs/suid_dumpable” コマンドを実行することであり、それにより、SUID バイナリのコアダンプ生成機能を無効化できると述べている。

原則として “/proc/sys/fs/suid_dumpable” パラメータは、クラッシュ時に SUID プログラムによるコアダンプを生成するかどうかを制御する。したがって、このパラメータを “0” に設定すれば、すべての SUID プログラムのコアダンプが無効化されに、クラッシュ発生時の解析を阻止できるという。

Red Hat は、「それにより、systemd パッケージの更新が不可能な期間は、この脆弱性が軽減されるが、この種のバイナリ・クラッシュ解析機能は無効化される」と述べている。

Amazon Linux／Debian／Gentoo からも、同様のアドバイザリが発行されている。なお、Debian システムのデフォルトは、脆弱性 CVE-2025-4598 の影響を受けないことに注意してほしい。なぜなら、systemd-coredump パッケージを手動でインストールしない限り、コアダンプ・ハンドラが取り込まれないからである。さらに、Ubuntu リリースにも、脆弱性 CVE-2025-4598 は影響しない。

すでに Qualys は、この２つの脆弱性に対する PoC コードを開発しており、クラッシュした unix_chkpwd プロセスのコアダンプを悪用するローカル攻撃者が、”/etc/shadow” ファイルからパスワードハッシュを取得する方法を実証している。

Canonical は独自のアラートで、脆弱性 CVE-2025-5054 の影響は、呼び出された SUID 実行ファイルの、メモリ空間の機密性に限定されると述べている。したがって、ハッシュ化されたユーザー・パスワードを漏洩する可能性のある PoC エクスプロイトは、現実の世界では限定的だとしている。

Qualys TRU の Saeed Abbasi は、「apport と systemd-coredump の脆弱性を悪用されると、コアダンプのパスワード／暗号化キー／顧客情報といった機密データが、攻撃者により抽出される可能性がある。したがって、機密性が著しく損なわれるリスクが高くなる」と述べている。

彼は、「その影響の結果として、運用停止／評判の低下／規制違反などの可能性が生じる。これらの多面的なリスクを効果的に軽減するために、ユーザー企業はパッチ適用と緩和策の優先順位を高めるべきだ。さらに、堅牢な監視の実施やアクセス制御の強化といった、プロアクティブなセキュリティ対策を導入する必要がある」と締め括っている。

コアダンプ処理系の脆弱性から、この種の攻撃が可能になることに、少し驚きました。今回はローカル限定とはいえ、SUID 経由で “/etc/shadow” まで見えてしまうのですね。複雑な条件が前提となりますが、PoC も出ていますので、対策を急いだほうがよさそうです。よろしければ、Linux で検索も、ご利用ください。