NVD Vulnerability Detail

CVE-2017-7374

Summary	Use-after-free vulnerability in fs/crypto/ in the Linux kernel before 4.10.7 allows local users to cause a denial of service (NULL pointer dereference) or possibly gain privileges by revoking keyring keys being used for ext4, f2fs, or ubifs encryption, causing cryptographic transform objects to be freed prematurely.
Publication Date	April 1, 2017, 5:59 a.m.
Registration Date	Jan. 26, 2021, 1:28 p.m.
Last Update	Nov. 21, 2024, 12:31 p.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=1b53cf9815bb4744958d41f3795d5d5a1d365e2d	Patch Third Party Advisory
2	http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=1b53cf9815bb4744958d41f3795d5d5a1d365e2d	Patch Third Party Advisory
3	http://www.securityfocus.com/bid/97308	Third Party Advisory VDB Entry
4	http://www.securityfocus.com/bid/97308	Third Party Advisory VDB Entry
5	https://github.com/torvalds/linux/commit/1b53cf9815bb4744958d41f3795d5d5a1d365e2d	Patch Third Party Advisory
6	https://github.com/torvalds/linux/commit/1b53cf9815bb4744958d41f3795d5d5a1d365e2d	Patch Third Party Advisory
7	https://source.android.com/security/bulletin/2017-10-01	Third Party Advisory
8	https://source.android.com/security/bulletin/2017-10-01	Third Party Advisory
9	https://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.10.7	Release Notes Vendor Advisory
10	https://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.10.7	Release Notes Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-416	解放済みメモリの使用	https://cwe.mitre.org/data/definitions/416.html
2	CWE-476	NULL ポインタデリファレンス	https://cwe.mitre.org/data/definitions/476.html

JVN Vulnerability Information

Linux Kernel の fs/crypto/ におけるサービス運用妨害 (DoS) の脆弱性

Title	Linux Kernel の fs/crypto/ におけるサービス運用妨害 (DoS) の脆弱性
Summary	Linux Kernel の fs/crypto/ には、解放済みメモリの使用 (Use-after-free) により、サービス運用妨害 (NULL ポインタデリファレンス) 状態にされる、または権限を取得される脆弱性が存在します。
Possible impacts	ローカルユーザにより、ext4、f2fs、または ubifs 暗号化に使用されているキーリングを無効にし、暗号化変換オブジェクトを早期に解放されることで、サービス運用妨害 (NULL ポインタデリファレンス) 状態にされる、または権限を取得される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	March 30, 2017, midnight
Registration Date	May 2, 2017, 10:58 a.m.
Last Update	May 2, 2017, 10:58 a.m.

Affected System

Linux

Linux Kernel 4.10.7 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-7374	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7374
National Vulnerability Database (NVD)
2	CVE-2017-7374	https://nvd.nist.gov/vuln/detail/CVE-2017-7374

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-416	https://cwe.mitre.org/data/definitions/416.html
2	CWE-476	http://cwe.mitre.org/data/definitions/476.html

ベンダー情報

No	Name	URL
ChangeLog
1	ChangeLog-4.10.7	https://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.10.7
GitHub
2	fscrypt: remove broken support for detecting keyring key revocation	https://github.com/torvalds/linux/commit/1b53cf9815bb4744958d41f3795d5d5a1d365e2d
Linux Kernel
3	Linux Kernel Archives	http://www.kernel.org
Linux kernel source tree
4	fscrypt: remove broken support for detecting keyring key revocation	https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=1b53cf9815bb4744958d41f3795d5d5a1d365e2d

Change Log

No	Changed Details	Date of change
0	[2017年05月02日] 掲載	Feb. 17, 2018, 10:37 a.m.