Linux Kernelのローカルユーザによる権限昇格の脆弱性(Copy Fail: CVE-2026-31431)

04/23/2026にLinux Kernelのローカルユーザによる権限昇格の脆弱性(Copy Fail: CVE-2026-31431)が公開されていました。既にPoCも出回っており、早急な対応が必要です。遅くなりましたが、今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

[過去関連リンク(最新5件)]

• Linux Kernelの脆弱性(CVE-2025-40345〜CVE-2025-71101)
• Linux Kernelの脆弱性(CVE-2025-40209〜CVE-2025-40344)
• Linux Kernelの脆弱性(CVE-2025-39929〜CVE-2025-40208)
• Linux Kernelの脆弱性(CVE-2025-39868〜CVE-2025-39928)
• Linux Kernelの脆弱性(CVE-2025-39805〜CVE-2025-39866)
• Linux Kernelの脆弱性(CVE-2025-39736〜CVE-2025-39804, CVE-2025-40300)

CVSS/プライオリティ

• CVE-2026-31431
  • 影響するバージョン
    • Commit 72548b0以降
    • 2017年以降リリースされた、ほぼ全てのLinux
  • Priority/CVSS SCORE
    • NVD(CVSSv4): Not disclosed
    • NVD(CVSSv31): Not disclosed
    • Red Hat(CVSSv4): Not disclosed
    • Red Hat(CVSSv31): 7.8 : Important
  • CVSS Vector
    • NVD(CVSSv4): Not disclosed
    • NVD(CVSSv31): Not disclosed
    • Red Hat(CVSSv4): Not disclosed
    • Red Hat(CVSSv31): CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
  • EPSS Score/Percentile
    • DATE(JST): 2026-04-30
    • EPSS: 0.000080000
    • Percentile: 0.007180000

修正方法

各ディストリビューションの情報を確認してください。

緩和策

下記のコマンドでalgif_aeadモジュールを読み込まないようにすることで、一時的な緩和策となります。

echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead

CVE概要(詳細はCVEのサイトをご確認ください)

• https://www.cve.org/CVERecord?id=CVE-2026-31431
  • Linux kernelでcrypto:algif_aead()の脆弱性が修正されました。 2017年にhttps://github.com/torvalds/linux/commit/72548b093ee3によりAEAD操作をインプレースで実行するための最適化が追加されていました。 復号化のために、コードはAADと暗号データをTX SGLからRXバッファにコピーしていましたが、sg_chain()を用いてタグページを連結していました。 これにより、req->src = req->dstになっています。 spliceからのページキャッシュページはscatterlistが書き込み可能になったことにより、authencesnのdst[assoclen + cryptlen]への書き込みがこれらの連結されたタグページにアクセスできるようになり、このバグが引き起こされました。
  • AEAD復号化中、_aead_recmsg()はキューに入れられたタグバイトをTX SGLから移動してRX SGLに連結し、その後、同じRX SGLヘッドをsreとdstの両方としてAEAD要求を送信します。タグバイトが元々af_alg_sendmsg()のspliceパスから来た場合、これらの末尾エントリは依然としてファイルページキャッシュページを参照しています。ほとんどのAEAD実装ではタグを読み取るだけですが、crypto_authenc_es n_decrypt()は等しいsroとdstをインプレースバッファとして扱い、authencesnでタグ領域に4バイトを書き込みます。この上書き(overwrite)は、後で値を返すタグチェックの前に行われます。
  • これにより、ローカルの非特権攻撃者は、読み取り可能なファイルに対して制御されたページキャッシュ書き込みプリミティブを取得できます。上記の最小限の設定では、各リクエストはspliceファイルオフセットで攻撃者が選択した 4 バイトを上書きします。Corruption(破壊)はプライベートコピーではなくキャッシュされたファイルページに影響するため、読み取り専用またはsetuid実行可能コンテンツを改ざんし、ページが削除されるまでローカルの特権昇格またはコード実行を可能にする可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2026-31431
• Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
  • https://access.redhat.com/security/cve/CVE-2026-31431
• Ubuntu
  • https://ubuntu.com/security/CVE-2026-31431
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2026-31431.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• https://copy.fail/
• https://www.openwall.com/lists/oss-security/2026/04/29/23