ハクソク

世界を動かす技術を、日本語で。

CopyFailはGentoo開発者に開示されなかった

2026年5月1日原文(openwall.com)

概要

  • Linuxカーネル に深刻なローカル権限昇格脆弱性(CVE-2026-31431)が発見
  • 影響範囲 はバージョン4.14以降の多くのカーネル
  • 修正済みバージョン は6.18.22、6.19.12、7.0
  • 一部の LTS(長期サポート)カーネル では未修正
  • 回避策パッチ が一部で提供

CVE-2026-31431: Linuxカーネルのローカル権限昇格脆弱性

  • CVE-2026-31431 は、Linuxカーネルに存在する 深刻なローカル権限昇格(LPE)脆弱性
  • 2017年のコミット (72548b093ee38a6d4f2a19e6ef1948ae05c181f7)で導入
  • 修正コミット は以下の通り
    • 6.18.22:fafe0fa2995a0f7073c1c358d7d3145bcc9aedd8
    • 6.19.12:ce42ee423e58dffa5ec03524054c9d8bfd4f6237
    • 7.0:a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5
  • 修正済みバージョン :6.18.22、6.19.12、7.0
  • LTSカーネル(6.12、6.6、6.1、5.15、5.10) では2026年4月時点で未修正

影響範囲と対応状況

  • 影響範囲 はバージョン4.14以降の多くのカーネル
  • LTSカーネル へのバックポートは困難
    • API変更が多く、単純な適用が不可
    • 安全性確保のため即時リリースは見送り
  • 一時的な回避策パッチ が一部で提供
    • 例:「0001-crypto-disable-authencesn-module-for-CVE-2026-31431.patch」

脆弱性の重大性

  • 「make-me-root」型の深刻な脆弱性
    • 攻撃者がローカルからroot権限を取得可能
  • 2026年時点で最悪レベルのカーネル脆弱性
  • クラウド環境やサーバー での影響が特に大きい

情報公開とコミュニティ対応

  • embargo(公開制限) が早期に解除された可能性
  • linux-distros ML(メーリングリスト) 経由での事前通知はなし
  • コミュニティ による迅速な議論・対応
  • AIによるノイズ増加 も指摘される中、開発者の負担増

参考リンク・リソース

対策と推奨事項

  • 該当カーネル利用者 は速やかに 修正版へアップデート を推奨
  • LTSカーネル利用者 はディストリビューションのアナウンスや 回避策パッチ の適用を検討
  • 脆弱性情報のウォッチコミュニティの最新情報 への注意

まとめ

  • Linuxカーネルの運用管理者 は、今回の脆弱性に特に注意
  • セキュリティパッチの適用情報収集 が重要
  • 長期運用環境 では追加の回避策も検討

Hackerたちの意見

ちなみに、リンク先の投稿の著者であるサム・ジェームズはGentooの開発者です。さて、これはひどい事態ですね。修正が配布される前に、世界にこの脆弱性を共有するのは非常に無責任です。どれだけの共有ホスティングプロバイダーがハッキングされたか分かりませんし、カーネルセキュリティチームと配布メンテナの間にコミュニケーションがないのも心配です。前者が後者に通知するのが理想ですが、どうやら脆弱性を見つけた人の責任みたいです。

人々が正しい行動をすることを期待するのが根本的な問題ですね。すべての脆弱性がプライベートに開示されることを期待するなんて、なぜそんなことを?実際にそうするインセンティブはほとんどありません。これを防ぐためにどんなシステムが必要かは正直分かりませんが、常に人々が正しいことをすることを期待するのはファンタジーレベルの考えです。開示者たちも自分たちが正しいことをしていると思っていたでしょうから、そこに頼るのは良くないことですね。追記:スペル/文法の修正。

この開示はセキュリティよりもマーケティングに関するものだったね。開示ページから: > あなたのソフトウェアはAI時代に安全ですか? > コピー失敗は、Linuxの暗号/サブシステムに対して約1時間のスキャン時間でXint Codeによって明らかにされた。 [...] > [Xint Codeを試してみて] もっと混乱があれば、彼らの製品がさらに魅力的に見えるよね。

修正が出る前に世界にエクスプロイトを共有するのは、非常に無責任だった。これは明らかにXint Codeを宣伝するためのマーケティングのスタントだよ。俺は絶対にXint Codeを使わないし、みんなにも使わないように勧める。そこにいる人たちへ: 15分の名声を楽しんでね、これが逆効果になることを願ってる。

どれだけの攻撃者がこの脆弱性を見つけて、研究が見つける前にすでに使っていたのか、誰がわかるんだろう?

Linuxカーネルはセキュリティの境界として使えないから、「共有ホスティング」をしたい人は、gVisorやfirecracker VMみたいな別のものを使う必要がある。セキュリティの境界として使っている重要なシステムはAndroidだけで、APKにはユーザーの承認が必要だし、厳しいSELinuxやseccompポリシー、GrapheneOSの強化があるから、今回はその対策がうまくいったみたいだね(https://discuss.grapheneos.org/d/35110-grapheneos-is-protect...)。

まあ、これは大惨事だね。配布元が修正を出す前に、世界にその脆弱性を共有するのは非常に無責任だった。何十億も稼いでる企業が、重要な脆弱性の報告に対してほんの少しの報酬しか払わないのが原因かもね…。

非常に無責任だった。ユーザーとして、管理者として、私は同意しないな。「責任ある」開示って、まるで「セキュア」ブートみたいに、企業や財団の中間業者のための評判管理のためのものだと思う。彼らは私のコンピュータが脆弱であることには興味がないけど、「RHELが脆弱だ」とか「Ubuntuが脆弱だ」と言われることには気を使ってる。脆弱性はどちらにしても存在するし、修正に驚かされるよりも、リスクを最小限に抑えるために知るチャンスがある方がいい。私にとって、即時の公開開示が無責任でない唯一の選択肢だよ。

開示のメカニズムについて立場を取らずに言うと、これでハッキングされたホスティングプロバイダーは、すでに負けるつもりでやってたんだよね。信頼できないテナントのワークロードを単一の共有カーネルの下で動かすのはダメだよ。カーネルのLPEは珍しくないし、これは特にシンプルでポータブルなものだったけど、根本的な能力はCNEのコモディティだよ。

まあ、これは大惨事だね。配布元が修正を出す前に、世界にその脆弱性を共有するのは非常に無責任だった。どれだけの共有ホスティングプロバイダーがこれでハッキングされたか分からない。ソフトウェアセキュリティに対して私たちがどれだけ注意を払っていないかが無責任かもしれない。もしかしたら、あらゆる種類のソフトウェア開発者は、全く新機能を開発するのではなく、30年分の技術的負債を解消するために1年を費やすべきかもね。そう聞くと革命的に思えるけど、AIエージェントでこの規模のカーネルバグを見つけるのが簡単な時代に、代替案は見当たらないよ。

下のBleeping Computerのリンクには、パッチが準備されるまでの潜在的な対策が載っています。 https://www.bleepingcomputer.com/news/security/new-linux-cop...

この回避策は、影響を受けたコードがモジュールとしてコンパイルされたカーネルにのみ適用されます。RHEL、Fedora、Gentoo(私たちは修正されたFedoraの設定を使っています)は、すべてこれを直接ビルドするように設定されています。パッチや設定変更がない限り(サムがGentooで示唆していたように)、これらの配布は脆弱なままです。

Hacker Newsで議論の続きを見る