ESETカスタマーアドバイザリー 2022-0005
2022年2月24日
深刻度中程度
概要
ESET は、Linux 向けのビジネスおよびサーバー製品に脆弱性を発見しました。修正された製品バージョンは現在ダウンロード可能であり、ESET はお客様にダウンロードしてインストールすることを推奨します。
詳細
ESET 社は、社内のコードレビューの一環として、Linux 向けのビジネスおよびサーバ製品のカーネルモジュールに、use-after-free の脆弱性が存在する可能性を発見しました。この脆弱性は、理論上、攻撃者がシステム上でサービス拒否状態を引き起こす可能性があります。
ESETは、この脆弱性を修正し、製品の新しいビルドを準備し、現在ダウンロード可能です。
ESETがこの脆弱性に対して予約したCVE IDはCVE-2022-0615で、CVSS v3ベクトルは以下の通りです:AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C。
私たちの知る限り、この脆弱性を利用した既存のエクスプロイトは存在しません。
対策
ESETでは、本脆弱性の影響を受けない以下の修正済み製品バージョンを用意しており、ユーザにアップデートを推奨しています:
- ESET Endpoint Antivirus for Linux バージョン 7.1.10.0
- ESET Endpoint Antivirus for Linux バージョン 8.1.7.0
- ESET Server Security for Linux バージョン 7.2.578.0
- ESET Server Security for Linux バージョン 8.1.818.0
影響を受けるプログラムとバージョン
本脆弱性の影響を受ける製品のバージョンは以下の通りです:
- ESET Endpoint Antivirus for Linux バージョン 7.1.6.0 ~ 7.1.9.0
- ESET Endpoint Antivirus for Linux バージョン 8.0.3.0 から 8.1.5.0 まで
- ESET Server Security for Linux のバージョン 7.2.463.0 から 7.2.574.0 へ
- ESETサーバーセキュリティ(Linux版):バージョン8.0.375.0から8.1.813.0まで
フィードバックとサポート
この問題に関するフィードバックやご質問は、ESET Security Forum またはESET テクニカルサポートまでお問い合わせください。
本問題への対応
本脆弱性は ESET 社内で発見されました。
バージョンログ
バージョン 1.0(2022年2月24日):この文書の初期バージョン
