B
今週中
Linuxカーネルに「Copy.Fail」と呼ばれる深刻な権限昇格の脆弱性
📌 一言でいうと
Linuxカーネルに「Copy.Fail」と呼ばれる深刻な権限昇格の脆弱性が発見されました。この脆弱性はカーネルの暗号APIとsplice()システムコールを悪用し、攻撃者が特権のないユーザーからルート権限を奪取することを可能にします。UbuntuやRHEL、Debianなど主要なディストリビューションの多くに影響し、ファイル変更を伴わないため従来の監視ツールでは検知できません。
🔍該当判定
- Ubuntu, RHEL, Debian, SUSE, Amazon Linux, FedoraなどのLinux OSをサーバーやPCで利用している
- Linuxサーバー上で、一般ユーザー権限で動作するアプリケーションやスクリプトを運用している
- Kubernetesを利用しており、カスタムのseccompプロファイルを設定せずにPodを運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
最新のカーネルパッチを適用すること。また、デフォルトのseccompプロファイルでは防げないため、必要に応じてカスタムseccompプロファイルを導入し、不要なシステムコールを制限することを検討してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linuxカーネル 権限昇格の脆弱性(Copy.Fail)対応について
お疲れさまです。Linuxカーネルにおける深刻な権限昇格の脆弱性「Copy.Fail」に関する情報共有です。
■ 概要
カーネルの暗号API (AF_ALG) と splice() を悪用し、特権のないユーザーがルート権限を奪取できる脆弱性です。ファイルシステム上のファイルを直接書き換えないため、AIDEやTripwireなどの整合性監視ツールでは検知できません。
■ 影響範囲
- Ubuntu, RHEL, Debian, SUSE, Amazon Linux, Fedora 等の主要ディストリビューション
- Kubernetes (RuntimeDefault seccompプロファイルではブロック不可)
■ 対応手順
1. OSベンダーから提供されている最新のカーネルアップデートを適用し、再起動を行う。
2. コンテナ環境において、必要に応じてカスタムseccompプロファイルを適用し、脆弱なシステムコールの利用を制限する。
■ 参考情報
- Theori 公開情報 (2026年4月29日)
- 各ディストリビューションのセキュリティアドバイザリ
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Linuxカーネルにおける深刻な権限昇格の脆弱性「Copy.Fail」に関する情報共有です。
■ 概要
カーネルの暗号API (AF_ALG) と splice() を悪用し、特権のないユーザーがルート権限を奪取できる脆弱性です。ファイルシステム上のファイルを直接書き換えないため、AIDEやTripwireなどの整合性監視ツールでは検知できません。
■ 影響範囲
- Ubuntu, RHEL, Debian, SUSE, Amazon Linux, Fedora 等の主要ディストリビューション
- Kubernetes (RuntimeDefault seccompプロファイルではブロック不可)
■ 対応手順
1. OSベンダーから提供されている最新のカーネルアップデートを適用し、再起動を行う。
2. コンテナ環境において、必要に応じてカスタムseccompプロファイルを適用し、脆弱なシステムコールの利用を制限する。
■ 参考情報
- Theori 公開情報 (2026年4月29日)
- 各ディストリビューションのセキュリティアドバイザリ
対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Linux Kernel Local Privilege Escalation (Copy.Fail)
Dear IT/Security Team,
We are sharing information regarding a critical local privilege escalation vulnerability in the Linux kernel known as "Copy.Fail."
■ Overview
This vulnerability allows an unprivileged user to escalate privileges to root by abusing the kernel crypto API (AF_ALG sockets) and the splice() system call. Because it writes directly to the page cache without modifying the file on disk, it bypasses checksum-based monitoring tools like AIDE and Tripwire.
■ Scope
- Major distributions: Ubuntu, RHEL, Debian, SUSE, Amazon Linux, Fedora, etc.
- Kubernetes: Not blocked by default RuntimeDefault seccomp profiles.
■ Mitigation Steps
1. Apply the latest kernel patches provided by your distribution and reboot the system.
2. For containerized environments, consider implementing a custom seccomp profile to restrict the relevant system calls.
■ Reference
- Theori Disclosure (April 29, 2026)
- Official distribution security advisories
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a critical local privilege escalation vulnerability in the Linux kernel known as "Copy.Fail."
■ Overview
This vulnerability allows an unprivileged user to escalate privileges to root by abusing the kernel crypto API (AF_ALG sockets) and the splice() system call. Because it writes directly to the page cache without modifying the file on disk, it bypasses checksum-based monitoring tools like AIDE and Tripwire.
■ Scope
- Major distributions: Ubuntu, RHEL, Debian, SUSE, Amazon Linux, Fedora, etc.
- Kubernetes: Not blocked by default RuntimeDefault seccomp profiles.
■ Mitigation Steps
1. Apply the latest kernel patches provided by your distribution and reboot the system.
2. For containerized environments, consider implementing a custom seccomp profile to restrict the relevant system calls.
■ Reference
- Theori Disclosure (April 29, 2026)
- Official distribution security advisories
Priority: High
Deadline: Immediate