- Qualysが開示したCVE-2026-46333は2016年から存在するLinuxの欠陥で、非特権ユーザーが特権プロセスを一時的に乗っ取り管理者アクセスを取得できる
- Debian、Ubuntu、およびFedoraのデフォルトインストールで悪用が確認された
- 管理者は直ちに更新を適用すべき
セキュリティ研究機関Qualysは、Linuxオペレーティングシステム(OS)の重大な欠陥を発見しました。この欠陥により、通常のユーザーまたは悪意のある行為者が脆弱なエンドポイントで完全な管理者アクセスを取得できます。
このバグはLinuxシステムに2016年から存在し、Red Hat、SUSE、Debian、Fedora、AlmaLinux、CloudLinuxなど、複数の主要ディストリビューションのデフォルトインストールに影響を与えます。
Qualysによると、攻撃者はこれを使用して機密ファイルを表示したり、最高レベルのシステム制御でコマンドを実行したりできる可能性があります。
実際に動作する悪用
この脆弱性はCVE-2026-46333として追跡されており、深刻度スコアは5.5/10(中程度)です。特権プロセスが認証情報をドロップしている際に到達可能なままである狭いウィンドウを悪用することで動作します。
管理者レベルの特権を持つプログラムがシャットダウン中、Linuxは他のプログラムがそれを覗き込むことをすぐに遮断することになっています。CVE-2026-46333は、その遮断が数分の一秒遅れすぎて、通常の非特権ユーザーがそのわずかなギャップを悪用できることを意味しています。
このウィンドウの間に、攻撃者は機能を使用して、消滅する前に死にかけている特権プログラムのオープン接続とファイルのコピーを取得できます。
Qualysは実際の危険性を示す4つの実行可能な悪用を構築し、Debian 13、Ubuntu 24.04/26.04、Fedora 43、およびFedora 44のデフォルトインストールで機能することを確認しました。
研究者は2026年5月11日にこの欠陥をLinuxカーネルセキュリティチームに非公開で報告し、チームは3日後の5月14日にパッチで対応しました。その直後、公開コミットから派生した独立した悪用が出現し、事実上禁輸を破り、完全な勧告リリースを促しました。
管理者は直ちに自分のディストリビューションからカーネル更新を適用することをお勧めします。直ちにパッチを適用できない場合は、kernel.yama.ptrace_scopeを2に上げて公開悪用をブロックする必要があります。
露出ウィンドウ中に信頼できないローカルユーザーがいたホストは、SSHホストキーとローカルキャッシュされた認証情報を侵害されたものとして扱い、できるだけ早くローテーションすることをお勧めします。
