Xint Code 研究チームの 4 月 29 日付技術レポートによると、CVE-2026-31431 は Linux カーネルの認証付き暗号（AEAD）テンプレート algif_aead.c に存在する論理脆弱性であり、AF_ALG + splice() 関数の連鎖呼び出しを利用することで、非特権のローカルユーザーがシステム上の任意に読み取り可能なファイルのページキャッシュに対して、決定的な 4 バイトの制御書き込みを行えるようにします。さらに、setuid バイナリを破壊して root 権限を取得することが可能になります。

Xint Code の報告によれば、影響を受けるディストリビューションおよびカーネルバージョンとして、以下がテストで確認されています。

Ubuntu 24.04 LTS：カーネル 6.17.0-1007-aws

Amazon Linux 2023：カーネル 6.18.8-9.213.amzn2023

RHEL 10.1：カーネル 6.12.0-124.45.1.el10_1

SUSE 16：カーネル 6.12.0-160000.9-default

Xint Code の報告では、本脆弱性の根本原因は、2017 年に algif_aead.c に導入されたその場（in-place）の AEAD 最適化（コミット 72548b093ee3）にあります。これにより、splice() からのページキャッシュページが書き込み可能な分散リストに配置され、authenticsn AEAD のラッパーによる一時書き込み操作と組み合わさって、悪用可能な経路が形成されます。

調整された開示スケジュールと修正（パッチ）対応

Xint Code が 4 月 29 日に開示したスケジュールによれば、CVE-2026-31431 は 2026 年 3 月 23 日に Linux カーネルセキュリティチームへ報告され、パッチ（a664bf3d603d）は 3 月 25 日に審査が完了しました。4 月 1 日にメインラインカーネルへ提出され、4 月 22 日に CVE が正式に割り当てられ、4 月 29 日に公開開示されました。

Xint Code の報告によると、修正（パッチ）対応には以下が含まれます。発行元のディストリビューションのカーネルソフトウェアパッケージを更新してください（主要なディストリビューションでは、通常のカーネル更新によりこのパッチが提供されるはずです）。緊急に緩和する必要がある場合は、seccomp により AF_ALG ソケットの作成をブロックするか、次のコマンドを実行して algif_aead モジュールをブラックリストに追加します：echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf。

Xint Code の報告によれば、この脆弱性はコンテナ境界を越えたシナリオにも影響します。ページキャッシュがホストで共有されるためです。Kubernetes のコンテナ脱出に関する影響は、後半で開示されます。

よくある質問

CVE-2026-31431 の影響範囲は何ですか？

Xint Code の 4 月 29 日の報告および慢霧 23pds による 4 月 30 日付の警告によると、CVE-2026-31431 は 2017 年以降にリリースされたほぼすべての主要な Linux ディストリビューションに影響し、Ubuntu、Amazon Linux、RHEL、SUSE などが含まれます。732 バイトの Python スクリプトで、特権なしの状況でも root 権限を取得できます。

この脆弱性の暫定的な緩和方法は何ですか？

Xint Code の報告によれば、seccomp により AF_ALG ソケットの作成を阻止することで対応できます。また、echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf を実行して algif_aead モジュールをブラックリストに追加すれば、直ちに緩和できます。

CVE-2026-31431 のパッチはいつリリースされますか？

Xint Code が開示したスケジュールによれば、パッチ（a664bf3d603d）は 2026 年 4 月 1 日に Linux メインラインカーネルへ提出されました。主要なディストリビューションは、通常のカーネルソフトウェアパッケージの更新を通じてこのパッチをリリースするはずです。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

リップルは $285M ドリフト侵害を明らかにし、4月に露呈した新しいソーシャルエンジニアリングのパターンを紹介した

セキュリティインシデント

リップルによれば、4月のDriftプロトコル侵害（2億8500万ドル）は、従来のスマートコントラクトの悪用に代わる新たな長期サイクルのソーシャルエンジニアリング攻撃のパターンを明らかにしました。

GateNews1時間前

ザックXBT：Tokenlonは$45M Lazarusグループの資金を取り扱ったことを可能にした

執行措置セキュリティインシデントオンチェーンデータ

2026年5月4日、オンチェーン調査員のZachXBTが、分散型取引所アグリゲーターのTokenlonが、主要な暗号資産の強盗に関連する北朝鮮のハッキング集団であるLazarus Groupに結び付いた不正資金の移動を助けているとして、詳細な報告書を公開した。ZachXBTのによれば、

CryptoFrontier1時間前

Aaveは、rsETHのエクスプロイト後に、Arbitrum上での7,100万ドル相当のETH没収を阻止しようとしています

ethereum news 執行措置セキュリティインシデント

Aaveは、Arbitrum上でrsETHのエクスプロイトを受けて71百万ドル相当のETHを凍結したニューヨークの差し止め命令通知を阻止するため、裁判上の異議申し立てを行った。貸し手は、当局が主張するような北朝鮮と関係のある判決債権者ではなく、凍結された資金はプロトコルの利用者に属していると主張している。差し止め命令

GateNews1時間前

アフターマス・ファイナンスは先週のインシデントの後、攻撃の影響を受けたユーザー向けにクレーム（請求）ページを開設

セキュリティインシデント

XにおけるSuiの公式発表によると、Aftermath Financeは先週の攻撃の影響を受けたユーザー向けに請求（クレーム）ページを開設しており、すべての返金は処理済みです。ユーザーがaftermath.financeに再接続すると、システムはAftermath Perpsから残高を引き出すよう促します。影響を受けたユーザーは連絡できます th

GateNews3時間前

リップルは北朝鮮のハッカーのインテリジェンスを暗号業界と共有し、攻撃手法がソーシャルエンジニアリングへと移行している

地政学執行措置セキュリティインシデント

BlockBeatsによると、5月5日、リップルはCrypto ISACを通じて北朝鮮のハッカーに関する内部の脅威インテリジェンスを暗号資産業界と共有すると発表した。この取り組みは、攻撃手法の根本的な転換に対応するものだ。すなわち、スマートコントラクトのコードの脆弱性を悪用するのではなく、脅威行為者は…

GateNews4時間前

Tydroはオラクルの問題により5月5日にすべての市場の取引を停止；ユーザーの資金は安全

プロジェクト進捗セキュリティインシデント取引所リスク

BlockBeatsによると、Inkエコシステムにおける貸付プロトコルであるTydroは、第三者オラクルの問題に関するレポートを受けて、5月5日にすべての市場を停止しました。チームはユーザー資金が引き続き安全であることを確認しており、現在も調査を進めています。

GateNews4時間前

0/400

コメントなし