重大な脆弱性が数百万台のLinuxシステムを脅かしている：あなたのシステムを安全に保つための鍵

と呼ばれる障害 コピー失敗 この脆弱性により、実に9年間もの間、無数のLinuxマシンにrootアクセス権限が付与されてきました！メンテナーは緊急パッチをリリースしていますが、再起動を怠るたびに脆弱性が露呈してしまいます。このパッチを適用しないということは、サーバーをスクリプトキディに明け渡すようなものです。

CVE-2026-31431として参照されるこの脆弱性は、カーネル4.14から6.19.12に影響します。つまり、ほぼすべての本番環境に展開されているシステムが対象となります。単純な悪用、安定した成功率、競合状態なし…ハッカーにとって理想的な組み合わせです。したがって、最優先事項は アップデート 核のすぐそば。

コピー失敗: a 重大な脆弱性 記憶で遊ぶ人

この攻撃はAF_ALGインターフェースとsplice()呼び出しを乗っ取り、カーネルページキャッシュ内の4バイトを上書きします。わずか4バイトの書き換えで、RAMにロードされたsetuidバイナリを改ざんし、警告なしにroot権限を取得することが可能です。アンチウイルスによる保護は存在せず、問題はカーネル内部に潜んでいます。パッチを適用して再起動する以外に、被害の拡大を止める方法はありません。

のための地震 Linuxのセキュリティ

従来のメモリ脆弱性とは異なり、Copy Failはランダムではありません。エクスプロイトを繰り返し実行する必要はなく、適切なクエリを1回実行するだけで十分です。標的となる暗号化モジュールはほぼ常にデフォルトでコンパイルされているため、主流のディストリビューションと組み込み環境の両方が同様に脆弱です。したがって、「脆弱性のない」Linuxシステムという神話は、完全に覆されました。

システムが影響を受けているかどうかを30秒以内に検出します。

走る： grep -qE '^algif_aead ' /proc/modules && echo 'モジュールがロードされました'このメッセージが表示された場合、コアが脆弱な状態です。次に、カーネルのバージョンを確認してください。6.19.13より前のバージョンは脆弱性が残っています。このモジュールと古いカーネルの組み合わせは、絶対に避けなければならない緊急事態です。

パッチを適用して、再起動するだけ！

Ubuntu、Fedora、Debian、Arch、およびSUSEのリポジトリには、既に修正版が配布されています。ダウンロード、インストール、再起動後、再度上記のコマンドを実行して「algif_aead」がリストに表示されなくなったことを確認してください。再起動しない場合、古いカーネルが引き続き動作し、権限昇格が引き続き可能になります。

エクスプロイトをブロックしながら待機します アップデート

すぐに再起動できない場合は、モジュールを無効にしてください。 echo 'install algif_aead /bin/false' > /etc/modprobe.d/disable-algif.conf && rmmod algif_aeadこの対策によって攻撃は阻止されますが、一部の暗号サービスに影響が出ます。そのため、メンテナンス期間はできるだけ早く設定することをお勧めします。回避策を長期間継続するのは、動脈に絆創膏を貼るようなものです。

強化するために ファイアウォール そして キー管理

カーネルにパッチを適用しても、絶対的な防御策にはなりません。nftablesを有効にして管理ポートを隔離し、FIDO2キー認証を強制し、パスワードで保護されたSSHアクセスを禁止してください。防御策を追加するごとに、攻撃後の段階が複雑化し、横方向の攻撃対象領域が縮小します。

に向けて コンピュータの保護 持続可能な

2025年以降、ほとんどのSecOpsチームは、機密性の高いシステムコールを監視するeBPFプローブを統合しています。プローブを接続し、AF_ALGでsplice()をログに記録するように設定してください。SIEMと組み合わせることで、setuidバイナリが上書きされた場合にリアルタイムでアラートがトリガーされます。目標は、事後対応から事前対応へと移行することです。 攻撃の防止。

最後に、CERT-FR RSSフィードをアグリゲーターに追加し、「CVE Linux kernel」のDiscover通知を有効にします。ニュースフィードは、セキュリティ勧告がソーシャルメディアで共有される前にプッシュ配信します。そのため、最新情報を入手することが、 システムの保護 永続的な。

ソース： www.zdnet.fr