Linuxカーネルの高重度ロジックバグにより、権限のない攻撃者が他のファイルのメモリにコードを書き込んでrootシェルを取得できるとサイバーセキュリティ企業Theoriが報告しています。
CVE-2026-31431(CSSスコア7.8)として追跡され、Copy Failと呼ばれるこの問題は、2017年以降のすべてのLinuxディストリビューションに影響を与える可能性があると考えられています。
このセキュリティ欠陥は、カーネルのauthencesn Authenticated Encryption with Associated Data(AEAD)テンプレートに影響を与え、IPsecはExtended Sequence Number(ESN)サポート用にこれを使用しています。
Theoriによると、問題はLinuxがページキャッシュページを書き込み可能なscatterlistに配置すること、authencesnが呼び出し元の宛先scatterlistをスクラッチスペースとして使用すること、および2017年の最適化がページキャッシュページを書き込み可能なscatterlistに配置したことです。
スクラッチスペース内でバイト再配置を実行するときに、authencesnはAEADタグを超えて4バイトのコードを書き込む呼び出しを行い、別のファイルのキャッシュされたコピーに書き込みます。
Copy Failにより、ローカルコード実行権限を持つ攻撃者は、ユーザーが読み取り可能なsetuid-rootバイナリのメモリ内コピーを変更でき、こうしてrootシェルアクセスを達成できます。Theoriが説明しています。
同社によると、2017年以降に出荷されたほぼすべてのLinuxディストリビューション上で、シンプルな732バイトのPythonスクリプトでの悪用に成功できます。
この脆弱性は、マルチテナントLinux環境、および信頼されていないコードを実行する共有カーネルコンテナとCIランナーに対して高いリスクをもたらします。Theoriによると、主な脅威は、すべての変更がメモリ内で直接行われ、ディスク上のファイルは変更されないままであることです。
Copy Failは、パイプバッファフラグを悪用するページキャッシュ破損欠陥であるDirty Pipeと、COWパスのレース条件を悪用するDirty Cowの両方とは異なると同社は述べています。
組織は、特に信頼されていないワークロードを実行している環境では、できるだけ早くLinuxディストリビューションを修正版に更新することをお勧めします。Theoriによると、ページキャッシュはコンテナ間で共有され、バグはノード間およびテナント間の侵害につながります。
Copy Failのために展開されたパッチは2017年に導入された最適化を削除し、インプレース操作に戻し、「ページキャッシュタグページを書き込み可能な宛先scatterlistにリンク」したメカニズムを削除するとTheriは述べています。
翻訳元: https://www.securityweek.com/copy-fail-logic-flaw-in-linux-kernel-enables-system-takeover/
