Linux 커널 취약점, 배포판에 사전 통보 없어
원제: For Linux kernel vulnerabilities, there is no heads-up to distributions
왜 중요한가
Linux 커널 취약점 대응 프로세스의 구조적 문제가 드러나 배포판 보안 대응 개선이 필요함을 시사한다.
Linux 커널의 CVE-2026-31431 로컬 권한 상승 취약점이 발견됐다. 2017년 커널 4.14부터 존재했으며 6.18.22, 6.19.12, 7.0에서 수정됐다. 보고자가 linux-distros 메일링리스트에 알리지 않을 경우 배포판에 사전 통보가 없다고 확인됐다.
오픈소스 보안 메일링리스트에서 Linux 커널의 심각한 로컬 권한 상승 취약점 CVE-2026-31431이 논의됐다. 이 취약점은 'CopyFail'로 명명됐으며, 2017년 커널 4.14의 커밋 72548b093ee38a6d4f2a19e6ef1948ae05c181f7에서 도입됐다. 수정은 커널 6.18.22, 6.19.12, 7.0에서 이뤄졌으며, 각각의 수정 커밋이 제공됐다. 4월 11일 6.19.12와 6.18.22가 백포트 수정과 함께 릴리스됐으나, 장기 지원 버전인 6.12, 6.6, 6.1, 5.15, 5.10은 아직 수정을 받지 못했다. 백포트가 복잡하여 API 변경사항으로 인해 전문가가 아닌 이상 즉시 배포하기 어려운 상황이다. Gentoo의 Sam James는 Linux 커널 취약점의 경우, 보고자가 linux-distros 메일링리스트에 직접 알리지 않는 한 배포판에 사전 통보가 없다고 명확히 했다. 이번 사례에서는 그런 통보가 없었다고 확인했다.