CVE-2023-0386 の詳細
CVEの情報
説明:
A flaw was found in the Linux kernel, where unauthorized access to the execution of the setuid file with capabilities was found in the Linux kernel’s OverlayFS subsystem in how a user copies a capable file from a nosuid mount into another mount. This uid mapping bug allows a local user to escalate their privileges on the system.
CVE更新日: 2023-03-22 21:15:18.090000
CVSSバージョン: 3.1
CVSSスコア: 7.8
KEVの情報
KEV更新日: 2025-06-17
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.078800000
EPSS更新日: 2026-07-17 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2023-0386に関する脆弱性の調査結果を以下に解説します。
1. 脆弱性の概要
CVE-2023-0386は、LinuxカーネルのOverlayFSサブシステムにおけるローカル権限昇格の脆弱性です。この脆弱性は、
nosuidマウントされたファイルシステムから、特定の権限を持つsetuidファイルが別のマウントポイントにコピーされる際の所有権管理の不備に起因します。カーネルがユーザーID(UID)マッピングを正しく処理しないため、非特権のローカルユーザーがsetuidビットとファイル機能を保持したままファイルをコピーし、結果として昇格された権限で実行できる可能性があります。1.1 影響
非特権のローカルユーザーがシステム上でroot権限に昇格できる可能性があります。 この脆弱性は、マルチテナント環境やコンテナ化されたインフラストラクチャにおいて特に危険です。
1.2 深刻度
2. 対象となる環境
2.1 影響を受けるOSバージョン
2.2 影響を受ける設定
nosuidフラグが競合するOverlayFSマウントが存在する場合。nosuidマウントされたファイル(setuidビットが無視される)から、nosuidを強制しないオーバーレイマウントにファイルをコピーする際に発生します。3. 影響を受けた時の兆候
以下の兆候が確認される可能性があります。
/tmpのオーバーレイ上位ディレクトリに、予期しないsetuidまたは機能を持つバイナリが出現する。setuidバイナリを生成し、UID 0(root)権限を取得するプロセス実行チェーン。unshare -Uまたはclone(CLONE_NEWUSER))の作成に続いて、即座にoverlayファイルシステムタイプのmountシステムコールが実行される。fstype=overlayのmountシステムコールを示すカーネル監査イベント。4. 推奨対策
4.1 本対策
4f11ada10d0aが組み込まれたカーネルバージョン、またはベンダーが提供するバックポートバージョンにアップグレードしてください。linux-5.10パッケージをバージョン5.10.179-1~deb10u1にアップグレードしてください。4.2 暫定回避策(緩和策)
overlayファイルシステムでの新規マウントの作成を制限してください。overlayモジュールのロードをブロックする(例: ブラックリストに登録する)ことで、ロードされないようにしてください。その他に解説すべき観点
参照したサイト