ほぼすべての主要なLinuxディストリビューションでローカルユーザーがroot権限を取得可能な脆弱(ぜいじゃく)性「Dirty Frag」が報告されました。セキュリティ専門家によると攻撃の成功率は極めて高く、また、攻撃に失敗してもカーネルパニックを引き起こさないため危険性も高いとのことです。

Linuxの主要ディストリビューションに影響がある深刻な脆弱性「Dirty Frag」 - GIGAZINE

「Dirty Frag」は、xfrm-ESPとRxRPCに存在する脆弱性を組み合わせることでroot権限を取得できる攻撃手法です。セキュリティ研究者のキム・ヒョヌ(@V4bel)氏は、2022年3月に公表された「Dirty Pipe」や2026年4月に公表された「Copy Fail」の後継クラスと表現しています。

Linuxの主要ディストリビューションに影響がある深刻な脆弱性「Dirty Frag」 - GIGAZINE

対象となるLinuxディストリビューションとしてはUbuntu 24.04.4、RHEL 10.1、openSUSE Tumbleweed、CentOS Stream 10、AlmaLinux 10、Fedora 44と、主要なものがすべて挙げられています。

Linuxの主要ディストリビューションに影響がある深刻な脆弱性「Dirty Frag」 - GIGAZINE

先行する「Copy Fail」は、カーネルの「algif_aead」モジュールの無効化によって軽減させる対策がありましたが、「Dirty Frag」はalgif_aeadモジュールが有効か無効かにかかわらず悪用される可能性があります。

Linuxの主要ディストリビューションに影響がある深刻な脆弱性「Dirty Frag」 - GIGAZINE

このため、パッチが利用可能になるまで「esp4」「esp6」「rxrpc」の各モジュールをブロックしてロードできないようにすることが推奨されています。また、攻撃を受けた可能性がある場合はページキャッシュが汚染されているため破棄する必要があるとのこと。

Linuxの主要ディストリビューションに影響がある深刻な脆弱性「Dirty Frag」 - GIGAZINE

なお、キム氏によると、各ディストリビューションが対応を調整する前に責任ある開示の公開禁止が破られたため、「Dirty Frag」を構成する2つの脆弱性に対するCVE識別子の割当は行われていないとのこと。

Linuxの主要ディストリビューションに影響がある深刻な脆弱性「Dirty Frag」 - GIGAZINE

セキュリティを最優先に掲げるAlmaLinuxは、脆弱性が深刻であることと悪用が極めて容易であることを考慮し、CentOS StreamとRHELのアップデートに先駆けてパッチ適用済みカーネルを構築。testingリポジトリに提供し、コミュニティによる検証が済み次第、本番リポジトリにリリース予定となっています。

Linuxの主要ディストリビューションに影響がある深刻な脆弱性「Dirty Frag」 - GIGAZINE

https://speakerdeck.com/syumai/how-tsgolint-exposes-typescript-gos-private-apis?slide=14

https://speakerdeck.com/syumai/how-tsgolint-exposes-typescript-gos-private-apis?slide=15

The core value proposition of TypeScript is an excellent developer experience. As your codebase grows, so does the value of TypeScript itself, but in many cases TypeScript has not been able to scale up to the very largest codebases. Developers working in large projects can experience long load and check times, and have to choose between reasonable editor startup time or getting a complete view of their source code. 

https://devblogs.microsoft.com/typescript/typescript-native-port/

We know developers love when they can rename variables with confidence, find all references to a particular function, easily navigate their codebase, and do all of those things without delay. New experiences powered by AI benefit from large windows of semantic information that need to be available with tighter latency constraints. We also want fast command-line builds to validate that your entire codebase is in good shape.

https://devblogs.microsoft.com/typescript/typescript-native-port/

To meet those goals, we’ve begun work on a native port of the TypeScript compiler and tools. The native implementation will drastically improve editor startup, reduce most build times by 10x, and substantially reduce memory usage. By porting the current codebase, we expect to be able to preview a native implementation of tsc capable of command-line typechecking by mid-2025, with a feature-complete solution for project builds and a language service by the end of the year.

https://devblogs.microsoft.com/typescript/typescript-native-port/

Layer Overview

https://github.com/microsoft/TypeScript/wiki/Architectural-Overview/1afea54fbb7a4af15d613708ac0d1951f73aca14

https://speakerdeck.com/syumai/how-tsgolint-exposes-typescript-gos-private-apis?slide=9

https://speakerdeck.com/syumai/how-tsgolint-exposes-typescript-gos-private-apis?slide=10

https://speakerdeck.com/syumai/how-tsgolint-exposes-typescript-gos-private-apis?slide=11

About

✨ Experimental proof-of-concept typescript-go powered JS/TS linter written in Go

https://github.com/typescript-eslint/tsgolint

About

Type aware linting for oxlint

https://github.com/oxc-project/tsgolint

https://speakerdeck.com/uhyo/typescript-7-dot-0noxian-zai-di-tobei-efang?slide=25

https://speakerdeck.com/uhyo/typescript-7-dot-0noxian-zai-di-tobei-efang?slide=26

https://speakerdeck.com/syumai/how-tsgolint-exposes-typescript-gos-private-apis?slide=34

TypeScript はマイクロソフトによって開発され、メンテナンスされているフリーでオープンソースのプログラミング言語である。TypeScriptはJavaScriptに対して、省略も可能な静的型付けとクラスベースオブジェクト指向を加えた厳密なスーパーセット（既存のものを全て含んだ上でより機能が拡張されている上位互換となるモノ）となっている。

TypeScript - Wikipedia

C#のリードアーキテクトであり、DelphiとTurbo Pascalの開発者でもあるアンダース・ヘルスバーグがTypeScriptの開発に関わっている。TypeScriptはクライアントサイド、あるいはサーバサイド (Node.js) で実行されるJavaScriptアプリケーションの開発に利用できる。

TypeScript - Wikipedia

TypeScriptは大規模なアプリケーションの開発のために設計されている。

TypeScript - Wikipedia