SIOS SECURITY BLOG

05/20/2026にLinux KernelのLPE脆弱性(PinTheft: CVE未アサイン)が公開されました。RDSモジュールが有効になっている必要があり、影響範囲は限定されそうです。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。(2026/05/22 09:00更新：CVE-2026-43494がアサインされたそうです）

05/20/2026にBIND9の脆弱性(High: CVE-2026-3039, CVE-2026-3593, CVE-2026-5946, CVE-2026-5947, Medium: CVE-206-3592, CVE-206-5950)と9.18.49, 9.20.23, 9.21.22の公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

05/08/2026にLinux KernelのLPE(Local Privilege Escalation)脆弱性(Dirty Frag: CVE-2026-43284, CVE-2026-43500)が公開されました。9年前からxfrm-ESP/rxRPCモジュールに脆弱性がある模様です。Dirty PipeやCopy Failと似たような脆弱性ですが、タイミング攻撃では無いため厄介な模様です。PoCも公開されています。また、本脆弱性は意図せず公開がされてしまった模様で、CVEも未アサインの状態です。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。(2026/05/08 17:00 追記) CVE-2026-43284が割り当てられた模様です。(2026/05/08 17:00 追記) CVE-2026-43500も割当られる模様です。

05/16/2026にLinux Kernelの脆弱性(ssh-keygen-pwn: Important: CVE-2026-46333)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

05/14/2026にLinux KernelのLPE（ローカル権限昇格）の脆弱性(Fragnesia: CVE-2026-46300)が公開されました。こちらの脆弱性は、以前に紹介したDirtyFragの仲間(CopyFail3)です。Linux Kernel中の同じモジュールに存在するバグのため、緩和策はDirtyFragと同じになります。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

05/13/2026にApache Tomcatの脆弱性(Moderate: CVE-2026-43512, CVE-2026-43515, Low: CVE-2026-41284, CVE-2026-41293, CVE-2026-42498, CVE-2026-43513, CVE-2026-43514)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

05/05/2026にApache HTTP Serverの脆弱性(Important: CVE-2026-23918, Moderate: CVE-2026-24072, CVE-2026-33006, Low: CVE-2026-28780, CVE-2026-29168, CVE-2026-29169, CVE-2026-33007, CVE-2026-33523, CVE-2026-33857, CVE-2026-34032, CVE-2026-34059)と修正バージョン(2.4.67)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。