Theoriのセキュリティ研究者がLinuxカーネルの高深刻度のローカル権限昇格(LPE)脆弱性(CVE-2026-31431)を公開しました。
「Copy Fail」というニックネームの欠陥は2017年以降に出荷されたほぼすべての主要なLinuxディストリビューションに影響を与えており、実際に機能する概念実証(PoC)エクスプロイトが公開されています。
CVE-2026-31431について
Theori研究者によると、CVE-2026-31431は数年間にわたって行われた3つの合理的なカーネル変更の相互作用から生じています:2011年のauthencesn(IPsecで使用されるAEAD暗号ラッパー)の追加、2015年のAF_ALG AEADソケットサポートの導入、および2017年にalgif_aead.cに追加されたインプレース最適化です。
authencesn暗号テンプレートのロジックバグであり、権限のないローカルユーザーがLinuxシステム上の任意の読み取り可能なファイルのページキャッシュに4つの制御可能なバイトを書き込むことを許可し、それを使用してrootを取得することができます。
技術的なレポートはもちろんより詳細です。
良いニュースは、CVE-2026-31431の悪用にはローカルユーザーとしてのローカルコード実行が必要であり、これはそれ自体ではリモートで悪用されることはできないということです。しかし「それを与えるもの(Webリモートコード実行が権限のないサービスアカウントに着地する、SSHのフットホールド、CIランナー上の悪意のあるPR)と組み合わせると、あなたはrootになる」と研究者は指摘しました。
悪いニュースは、Dirty CowおよびDirty Pipe Linuxカーネルの権限昇格脆弱性とは異なり、Copy Failは競合状態に勝つ必要なく悪用でき、同じエクスプロイトが多くのシステムで機能するということです。
何をすべきか?
CVE-2026-31431は2017年以降にリリースされたカーネルを使用するすべてのLinuxディストリビューションに影響を与えます。
エクスプロイトスクリプトは小さく、追加のソフトウェアのインストールに依存していません。2017年以降にリリースされたほぼすべてのLinuxディストリビューションで動作し、脆弱なシステムで実行されるたびに動作します。ディスク上のファイルを変更せず、ファイルの改ざんを監視するツールでフラグが立てられず、ディスク上のフォレンジック痕跡を残さず、最後にコンテナ分離から脱出できます。
これらすべての理由から、研究者はマルチテナントLinuxシステム、CIランナー、ユーザーコードを実行するクラウドSaaS、およびコンテナクラスター上の脆弱性にパッチを適用することを優先し、その後に標準のLinuxサーバーおよびシングルユーザーワークステーション上でパッチを適用することを管理者に助言します:
CopyFailパッチ優先順位(出典:Theori)
研究者はUbuntu 24.04 LTS、Amazon Linux 2023、RHEL 10.1、およびSUSE 16が脆弱であることを確認しました。OpenWallプロジェクトの創始者であるAlexander Peslyak(別名Solar Designer)は、提供されたエクスプロイトがRocky Linux 9.7で機能したことを確認しました。
Linuxディストリビューションは脆弱性の存在について事前に通知されており、多くはすでにパッチを適用したコミットを含むカーネルパッケージをリリースしています。
何らかの理由でディストリビューションのカーネルパッケージを更新できない管理者/ユーザーは、以下によってリスクを一時的に軽減できます:
- seccompを介してAF_ALGソケット作成をブロックするか、
- algif_aead モジュールをブラックリストに登録します。
翻訳元: https://www.helpnetsecurity.com/2026/04/30/copyfail-linux-lpe-vulnerability-cve-2026-31431/
