Linuxカーネル脆弱性の事前通知体制に課題
原題: For Linux kernel vulnerabilities, there is no heads-up to distributions
なぜ重要か
Linuxカーネルの脆弱性対応体制の課題が露呈し、オープンソースエコシステムのセキュリティ改善の必要性を示している。
Linuxカーネルの重大な特権昇格脆弱性CVE-2026-31431について、ディストリビューション向けの事前通知がなかったことが判明した。この脆弱性は2017年に導入され、カーネルバージョン4.14以降に影響し、最近のバージョン6.18.22、6.19.12、7.0で修正された。
オープンソースセキュリティメーリングリストで、Linuxカーネルの深刻な特権昇格脆弱性CVE-2026-31431の対応について議論が行われた。この脆弱性は「CopyFail」と呼ばれ、ローカル特権昇格を可能にする重大なセキュリティ問題とされている。
脆弱性は2017年のカーネルバージョン4.14でコミット72548b093ee38a6d4f2a19e6ef1948ae05c181f7により導入され、6.18.22、6.19.12、7.0で修正された。4月11日に6.19.12と6.18.22がリリースされ、修正が適用されたが、長期サポート版の6.12、6.6、6.1、5.15、5.10には修正が適用されていない。
Gentooの開発者Sam James氏は、「Linuxカーネルの脆弱性について、報告者がlinux-distros MLに持ち込まない限り、ディストリビューション向けの事前通知はない」と指摘した。今回のケースでは、そうした事前通知が行われなかった。古いカーネルへの修正適用は、APIの変更により複雑で、Gentooチームは暫定的な回避策として特定のモジュールを無効化するパッチを使用することを決めた。