Trusted Design

解説:

CVE‑2026‑31431 は Linux カーネルの暗号サブシステム（AF_ALG / algif_aead）に存在する ローカル特権昇格（LPE）脆弱性 で、一般ユーザーが root 権限を奪取できる重大な問題です。

1. 脆弱性の概要

Linux カーネルの AF_ALG（暗号 API）に存在する境界外書き込み（Out‑of‑bounds Write）脆弱性。暗号テンプレート authencesn の処理に欠陥があり、非特権ユーザーが 4 バイトの任意書き込みを行い、root 権限を奪取できる。
Theori（Xint Code）が 2026/4/29 に公開し、PoC もすでに出回っている。「Copy Fail」という通称が付けられている。

1.1 影響

• 一般ユーザー → root 権限奪取（LPE）
• コンテナ環境では ホスト脱出 の可能性
• CI/CD ランナー・共有サーバーで特に危険
• 他の脆弱性と組み合わせてリモート攻撃に発展する可能性

1.2 深刻度

• CVSS 3.1（IPA 評価）

AV:L / PR:L / AC:L / UI:N / S:U / C:H / I:H / A:H（High） ※ ローカル前提だが、root 奪取のため深刻度は高い。

2. 対象となる環境

2.1 影響バージョン

IPA 公開情報より：

• Linux カーネル 4.14 以降の広範なバージョンが影響
• Theori の技術分析より、修正済み upstream バージョン例：
  5.10.254 / 5.15.204 / 6.1.170 / 6.6.137 / 6.12.85 / 6.18.26 / 7.0.3 以降（kernel.org）

※ 各ディストリビューションは独自のバックポートを行うため、Ubuntu / RHEL / Debian / SUSE などの公式アドバイザリを必ず確認すること。

2.2 影響を受ける条件

• AF_ALG（特に algif_aead）が有効
• ローカルユーザーがログイン可能
• コンテナや共有ホストなど「複数ユーザーが同居」する環境でリスク増大

3. 侵害の兆候（IOC）

（公式 IOC はなし。以下は脆弱性の性質から導かれる事実ベース）

• /usr/bin/su など setuid バイナリの不審なメモリ改変
• AF_ALG ソケットの異常な利用
• コンテナ環境でのホスト側プロセス生成
• auditd による socket(AF_ALG) の異常検知

4. 推奨対策

4.1 恒久対策（公式修正）

• ディストリビューションが提供する修正済みカーネルへ更新（要再起動）
• kernel.org の修正版（5.10.254 など）へ移行する場合はビルドが必要

4.2 暫定回避策

（ディストロにより案内あり）

• algif_aead を無効化（モジュールの場合のみ有効）
  echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf rmmod algif_aead

※ カーネル組み込みの場合は無効化不可（RHEL 系など）

• カーネル引数で無効化（組み込み時）
  grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"

→ 再起動後に AF_ALG の利用不可を確認

5. 参照サイト（一次情報）

• IPA – Linux の脆弱性対策（CVE‑2026‑31431）
• ワルブリックス技術解説（Copy Fail） （CVE‑2026‑31431 解説記事）