学内でLinuxを運用されている方へ
Linuxカーネルにおいて,一般ユーザによる権限昇格の脆弱性 CVE-2026-31431、Copy Fail (深刻度高)が確認されています.
本脆弱性はネットワーク越しに攻撃できるものではありませんが,検証コードが既に公開されていますので,管理者以外のユーザがログイン可能な環境(DockerやKubernetesなどでコンテナを利用されている場合も含みます)でLinuxを運用されている方は早急にご対応をお願いいたします.
詳しくは情報処理推進機構(IPA)の注意喚起情報をご覧ください
5/8 重要な追加情報
Copy Fail と同様に,ローカルユーザの権限昇格の脆弱性である Dirty Fragが発見されました.
こちらも,現行の多くのディストリビューションが該当します. 一般ユーザがログイン可能な環境でLinuxを運用されている方は,引き続きディストリビューションの発表するセキュリティ情報にご注意ください.
暫定緩和策として,脆弱なカーネルモジュール(esp4,esp6,rxrpc)をロードしないようにする設定が提案されていますので,ご利用状況に応じて併せてご検討ください.
情報処理推進機構などから注意喚起があれば併せて掲載いたします.
影響範囲
4.14 以降のLinuxカーネルを利用中のシステム
- Linuxカーネルのバージョンは,ご利用中のディストリビューションによって異なりますが,現行サポートされているほとんどのシステムが対象となると想定されます.
- 各ディストリビューションの開発者が公開している情報を参照し,セキュリティパッチが公開されている場合は速やかに適用してください.
- ディストリビューションによっては恒久対応前の暫定対応策を提案している場合があります.対応状況によっては暫定対応策の適用もご検討ください.