Linux Kernelの権限昇格の脆弱性(CVE-2022-0847)が公開されておりますが、
Armadllo-IOT G4のArmadillo Base OS(v3.15.0-at.3適用済み)は影響を受けますでしょうか?
もし影響を受ける場合、修正パッチ等のリリース予定日を教えて頂けないでしょうか?
armadillo:~# persist_file -a upgrade linux-at
(1/1) Upgrading linux-at (5.10.101-r1 -> 5.10.103-r0)
Executing busybox-1.34.1-r4.trigger
OK: 200 MiB in 185 packages
Install succeeded, but might not work in the running system
Please reboot if installed program does not work
at_dominique.m…
2022年3月10日 18時17分
h-yuusukeさん、
お世話になっています。
アットマークテクノのマルティネです。
Armadillo Base OS v3.15.0-at.3 の linux v5.10.101-r1 のカーネルには確かに CVE-2022-0847 を解決していません。
かなり大変な脆弱性ですが、コンテナから脱出手段にもなりませんし、ニュースに読める「read-onlyでもファイルを上書きできる」ことも試してみたらメモリ上のデータだけを上書きしたものなので、正しい使い方していれば致命的なバグではないと考えました。
また、ニュースは出してませんが、パッケージだけを作っておきましたので、気になるのであればパッケージだけをアップデートしてください。
自分でカーネルビルドしていましたら、ソースアーカイブもgithubもで更新してあります:
https://download.atmark-techno.com/alpine/v3.15/atmark/src/linux-at-5.1…
https://github.com/atmark-techno/linux-5.10-at/
このパッケージを含むBase OS swuイメージは今月末の定期アップデートでリリースする予定です。
よろしくお願いします。