Linuxに2週連続で深刻な脆弱性、権限昇格攻撃が可能
原題: Linux bitten by second severe vulnerability in as many weeks
なぜ重要か
Linuxサーバーの大規模なセキュリティ侵害リスクが高まり、企業のインフラ防御体制強化が急務となっている
Linuxで「Dirty Frag」と呼ばれる新たな脆弱性が発見され、低権限ユーザーがroot権限を取得できる問題が判明した。3日前にエクスプロイトコードが流出し、Microsoftは既に攻撃者による実験的な悪用を確認している。先週発見されたCopy Failに続く2週連続での重大な脆弱性発見となった。
研究者Hyunwoo Kimが発見したDirty Fragは、CVE-2026-43284とCVE-2026-43500の2つの脆弱性を組み合わせた攻撃手法で、コンテナや信頼されていないユーザーがroot権限を取得できる。この脆弱性は仮想マシンを含む低権限ユーザーに影響し、特に複数のパーティが共有するサーバー環境で深刻な脅威となる。エクスプロイトコードは決定論的で、実行時にクラッシュを起こさずステルス性が高く、ほぼ全てのLinuxディストリビューションで確実に動作する。セキュリティ企業Aviatrixは「パッチ未適用のカーネルの欠陥を悪用して不正ユーザーがroot権限を取得できる即座かつ重大な脅威」と警告している。両脆弱性はカーネルのページキャッシュ処理のバグに起因し、esp4/esp6プロセスとrxrpcコンポーネントを標標とする。現在Debian、AlmaLinux、Fedoraなど複数のディストリビューションがパッチをリリースしている。先週のCopy Fail、2022年のDirty Pipeと同じバグファミリーに属する脆弱性群の一つとされる。