今回明らかになったLinuxの脆弱性は、すべてのLinuxカーネルのOSに関わります。この脆弱性は、Linuxファイルシステムのsize_tからintへの変換を利用して、権限を昇格させられるというものです。root権限を持たない悪意あるユーザーは、1GBを超える長いディレクトリパスを利用してLinuxのファイルシステム内にマウントし、バッファオーバーフローを引き起こして、悪意ある権限昇格を実行します。 PCI DSSの視点から見て、最も懸念される点はOSアカウントのセキュリティです。ホストへのログインが必要かどうかという点から見て、必要のないユーザーのログインを制限して、ディレクトリのマウントやeBPFの使用ができないようにするほか、適切なセキュリティパッチをインストールすべきでしょう。重大なリスクがある場合は、30日以内に新しいパッチを適用してください。 OSベンダが関連するパッチを公開しているかどうか確認し、なるべく1か月以内にOSのパッチを適用してください。OSベンダがパッチを公開していない場合は、緩和措置を取ってください。 今回Qualysのセキュリティ研究チームが発表した脆弱性(CVE-2021-33909)に対応するため、現在、各システムベンダが相次いで更新パッチを公開しています。これまでに収集されたリスク判定パッチは下表のとおりです。
| 出所 | リスクレベル |
|---|---|
| NESSUS https://www.tenable.com/cve/CVE-2021-33909 | CVSS (v2) 7.2 |
| NIST NVD https://nvd.nist.gov/vuln/detail/CVE-2021-33909 | CVSS (v3) 7.8 |
| Redhat https://access.redhat.com/security/cve/cve-2021-33909 | CVSS (v3) 7.0 |
| CVE https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33909 | Source: MITRE |
2021年9月10日更新
Qualysのセキュリティ研究チームがこれまでに脆弱性を利用してroot権限の取得に成功したOSは、Ubuntu 20.04、Ubuntu 20.10、Ubuntu 21.04、Debian 11、Fedora 34 Workstation等です。ただし、その他のLinux OSであっても、今回の脆弱性を悪用した攻撃を受ける可能性があります。Linuxサーバの各バージョンに対応するセキュリティパッチを以下にまとめました。
OS セキュリティパッチのリンク
パッチがまだ公開されていない場合には、まずこちらの緩和措置を実施してください。
0に設定
技術の詳細はこちら:
| 運営体制 | セキュアパッチリンク |
|---|---|
| Redhat | https://access.redhat.com/security/cve/cve-2021-33909 |
| CentOS | https://centosfaq.org/centos/its-been-six-days-since-cvd-2021-33909-was-patched-in-rhel-whats-the-holdup-for-stream-8/
https://centos.pkgs.org/8-stream/centos-baseos-x86_64/kernel-4.18.0-326.el8.x86_64.rpm.html |
| SUSE | https://www.suse.com/security/cve/CVE-2021-33909.html |
| ubuntu | https://ubuntu.com/security/CVE-2021-33909 |
2021年 9月 10日更新
パッチがまだ提供されていない場合は、まず緩和策がある。
sysctl kernel.unprivileged_userns_clone=1 # unprivileged_userns_clone に設定する。 0
sysctl kernel.unprivileged_bpf_disabled=1 # unprivileged_bpf_disabled に設定する。 1
技術的な詳細については:https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt
Max Tsai
• Payment Card Industry Security, IT Security Management, Cloud Service Management
• 專業認證: PCI DSS QSA, CISSP, ISMS LA
Secure Vectors Information Technologies Inc., 当社は、技術テスト、コンサルティング、コンプライアンスサービスなど、ペイメント業界のセキュリティ管理サービスを専門とする企業です。当社のサービスには、PCI DSS、PCI 3DS、PCI PIN Securityなどのペイメントカード業界のセキュリティ基準、個人データ保護やGDPRのコンプライアンスチェック、コンサルティングサービスなどが含まれます。米国、中国、シンガポール、ベトナム、台湾に拠点を持つアレジスは、あらゆるサービスを提供しています。コンプライアンス関連製品には、認証サービス(コンプライアンス監査)、コンプライアンス・セキュリティ・エスクロー、コンプライアンス管理プラットフォームなどがある。
- PCI セキュリティ証明書: www.securevectors.com
- SecuCollab セキュコンプライアンス: www.secucollab.com
- SecuCompliance セキュコラボ: www.secucompliance.com
* 私たちのサービスについてもっとお知りになりたい方は、お気軽にお問い合わせください。 service@securevectors.com
ご覧になることをお勧めする。
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2024/05/PCI-DSS-v4.0-%E6%84%8F%E8%B1%A1%E5%9C%96-Auto-update-V2.jpg?fit=838%2C617&ssl=1
617
838
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2024-11-09 14:54:242025-03-11 14:06:52自分に適したPCI DSS SAQ(自己問診)はどれ?
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2024/06/News-0830.png?fit=838%2C628&ssl=1
628
838
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2024-08-31 11:28:042025-03-21 14:46:08PCI DSS認証早わかり:情報セキュリティ初心者でも簡単に準拠達成
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-%E9%A9%97%E8%AD%89-3-%E6%AD%A5%E9%A9%9F-scaled.jpg?fit=2560%2C1564&ssl=1
1564
2560
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2024-08-14 14:38:572025-03-21 14:41:12PCI DSS 準拠達成のプロセスおよび費用
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2025/02/PCI-DSS-v4.0-%E6%84%8F%E8%B1%A1%E5%9C%96-%E5%AF%AC%E7%89%88.jpg?fit=907%2C378&ssl=1
378
907
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2023-09-15 15:07:192025-03-11 14:05:48PCI DSS v4.0要件12.4.2(サービスプロバイダへの追加要件)に準拠するために必要なこと
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2025/02/2023-08-01-%E6%BC%8F%E6%B4%9E%E4%BF%AE%E8%A3%9C%E6%84%8F%E8%B1%A1%E5%9C%96-%E5%AF%AC%E7%89%88.jpg?fit=907%2C378&ssl=1
378
907
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2023-08-15 15:09:522025-03-11 14:04:29GCPを使用したCI/CDサービスGoogle Cloud Buildに注意!
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2025/02/FORTIOS.jpg?fit=907%2C378&ssl=1
378
907
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2023-07-31 15:12:442025-03-11 14:00:41【FortiOS】SSL-VPNの重大な脆弱性(CVE-2023-27997)への対応はお済みですか?
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg?fit=1332%2C850&ssl=1
850
1332
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2022-04-14 15:23:132025-03-11 14:03:292022年4月からBINコードが上8桁に。システム変更の準備は万全ですか?
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2021/07/Screenshot-2021-07-30-172522.jpg?fit=464%2C345&ssl=1
345
464
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2021-10-13 14:31:022025-03-11 13:59:32脆弱性Sequoia(CVE-2021-33909)をPCI DSSのプロが解説
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-%E9%A9%97%E8%AD%89-3-%E6%AD%A5%E9%A9%9F-scaled.jpg?fit=2560%2C1564&ssl=1
1564
2560
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2021-02-02 17:00:492025-03-11 14:09:44PCI 3DS準拠への3ステップ
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2024/05/PCI-DSS-v4.0-%E6%84%8F%E8%B1%A1%E5%9C%96-Auto-update-V2.jpg?fit=838%2C617&ssl=1
617
838
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2024-11-09 14:54:242025-03-11 14:06:52自分に適したPCI DSS SAQ(自己問診)はどれ?
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2024/06/News-0830.png?fit=838%2C628&ssl=1
628
838
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2024-08-31 11:28:042025-03-21 14:46:08PCI DSS認証早わかり:情報セキュリティ初心者でも簡単に準拠達成
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2023/10/Event_EN.jpg?fit=1258%2C926&ssl=1
926
1258
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2023-10-13 16:32:472025-03-11 14:17:29シンガポール・フィンテック・イノベーションセミナー
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2023/05/20230609-%E5%95%86%E5%91%A8%E7%BF%81%E6%8C%BA%E8%80%80%E6%94%9D%E5%BD%B1-068-scaled.jpg?fit=2560%2C1707&ssl=1
1707
2560
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2023-07-18 16:43:542025-03-11 14:20:56金融業のクラウド移行が大幅緩和!9月に新法施行、今後のチャンスと課題は?
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2025/02/20230609_s.png?fit=3304%2C2475&ssl=1
2475
3304
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2023-05-08 16:27:202025-03-11 14:16:33金融とペイメント業務のクラウド移行の新たな課題
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg?fit=1332%2C850&ssl=1
850
1332
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2022-04-14 15:23:132025-03-11 14:03:292022年4月からBINコードが上8桁に。システム変更の準備は万全ですか?
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-%E9%A9%97%E8%AD%89-3-%E6%AD%A5%E9%A9%9F-scaled.jpg?fit=2560%2C1564&ssl=1
1564
2560
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2021-02-02 17:00:492025-03-11 14:09:44PCI 3DS準拠への3ステップ
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2018/04/rawpixel-com-568381-unsplash-%E6%8B%B7%E8%B2%9D.jpg?fit=600%2C600&ssl=1
600
600
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2018-09-07 17:16:072025-03-11 14:11:30PCI DSS のインシデント対応計画(IRP)
https://i0.wp.com/www.securevectors.com/wp-content/uploads/2018/05/table.jpg?fit=900%2C800&ssl=1
800
900
Andrew
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
Andrew2018-08-29 17:31:152025-03-11 14:18:35「銀聯国際(UPI)主催UPI 3DS 2.0ワークショップ(シンガポール)にセキュアベクターズが参加」
