バージョン24.04以降を実行しているUbuntu Desktopシステムは、新しいローカル権限昇格脆弱性CVE-2026-3888にさらされており、低権限ユーザーがsnapdとsystemdが一時ディレクトリを管理する方法を悪用して完全なroot権限を取得できます。
この欠陥はデフォルトのデスクトップインストレーションに影響を与え、パッチを適用しないと一見低リスクのローカルアカウントがシステム全体の侵害に変わる可能性があります。
CVE-2026-3888はUbuntu上のSnapパッケージを管理するサービスであるsnapdの高深刻度のローカル権限昇格で、CVSS v3.1スコアは7.8です。
これはSnap サンドボックスを準備するsetuid-rootバイナリであるsnap-confineヘルパーと、一時ディレクトリを定期的にクリーンアップするsystemd-tmpfilesの間の意図しない相互作用から生じています。
これら2つの本来は安全なコンポーネントが組み合わさると、権限のない攻撃者がSnapの非公開一時ディレクトリをハイジャックし、snap-confineの特権操作に乗じてrootに到達するシナリオが生じます。
この攻撃は、snap非公開一時ディレクトリの定期的なクリーンアップと攻撃者の慎重なタイミングに依存しています。
影響を受けたUbuntu Desktopシステムでは、systemd-tmpfilesはUbuntu 24.04では30日後、新しいリリースでは10日後に/tmpの古いデータを削除するように設定されており、snap-confineが使用する重要な/tmp/.snapディレクトリも含まれます。
このディレクトリが削除されると、ローカル攻撃者はそれを再作成し、悪意のあるコンテンツを入れることができます。次のSnapサンドボックス初期化中に、snap-confineは攻撃者制御ファイルをroot権限でバインドマウントし、完全なroot権限での任意のコード実行が発生します。
この脆弱性はUbuntu Desktop 24.04以降のデフォルトインストレーションに影響を与え、snapdとsystemd-tmpfilesが有効になっているため、通常のローカルユーザーアカウントが最終的にホストの無制限のroot制御を取得できることを意味します。
エクスプロイトの時間ベースの性質(10~30日のウィンドウ)は攻撃の複雑さを高めていますが、継続的に稼働し定期的に使用される長期運用中のデスクトップまたは開発者システムではリスクを有意に低減しません。
一度エクスプロイトされると、攻撃者はセキュリティツールを無効化し、永続的なマルウェアをインストールし、機密データを流出させるか、または侵害されたワークステーションから管理されているコンテナとKubernetesワークロードに横展開できます。
Ubuntuはほぼ固定されたsnapdの問題としてCVE-2026-3888をリストアップしており、サポートされているバージョン全体でパッチ適用されたパッケージがリリースされています。
組織はUbuntu 24.04 LTSでsnapdを少なくとも2.73+ubuntu24.04.1に、Ubuntu 25.10および26.04開発ブランチで同等の2.73以降に更新し、アップストリームsnapdユーザーはバージョン2.75以降に移行する必要があります。
デフォルト設定では脆弱でない古いUbuntu LTSリリース(16.04~22.04)でも、カスタマイズされたtmpfilesまたは新しい動作を模倣するsnapセットアップからのリスクを回避するために利用可能なアップデートを適用することをお勧めします。
同じレビュー中に、研究者らはUbuntu 25.10のRustベースのuutils coreutilsのrm実装の競合状態も特定しました。これはroot cronジョブ中に任意ファイルを削除または権限昇格を悪用される可能性があり、UbuntuがGNU coreutilsに戻してアップストリームの修正をリリースするきっかけになりました。
防御側向けに、QualysはQID 386810を割り当てて脆弱性スキャンでCVE-2026-3888を検出し、Ubuntuの公式CVEとセキュリティ通知エントリはリリース全体でパッチステータスの公式追跡を提供しています。
セキュリティチームはOSパッチを定期的なsnapdアップデートと/tmpクリーンアップポリシーの監視と組み合わせて、同様の権限チェーニング問題が将来の設定で再導入されないようにする必要があります。
翻訳元: https://cyberpress.org/ubuntu-desktop-vulnerability/