LinuxカーネルのDirty Frag脆弱性に関する緩和策(Ubuntu)
LinuxカーネルLPE脆弱Linuxカーネルに「Dirty Frag」と呼ばれる2つのローカル権限昇格(LPE)脆弱性が公開されました。
これらはそれぞれESP(IPsec)およびRxRPC(AFS)に関連するモジュールに影響を及ぼします。
影響を受けるのはすべてのUbuntuリリースであり、コンテナ非利用環境ではローカルユーザーがroot権限を奪取される可能性があります。
恒久的なパッチが利用可能になるまで、影響を受けたカーネルモジュールを無効化することが一時的な緩和策として推奨されています。
ただし、このモジュールの無効化は、IPsecやAFSなどの関連機能の動作を停止させます。
2026年5月7日、Linuxカーネルに2つの深刻なローカル権限昇格(LPE)の脆弱性「Dirty Frag」が公表されました。この脆弱性は、Linuxカーネルモジュールに影響を及ぼすもので、影響を受けるUbuntuを含む複数のLinuxディストリビューションで深刻度「HIGH」と評価されています。本記事では、この脆弱性の概要と、パッチ適用前の緊急的な対策について解説します。
脆弱性の概要と影響範囲
今回公表された「Dirty Frag」は、それぞれIPsecのESPプロトコルや、AFS(Andrew File System)で使用されるRxRPCプロトコルのサポートモジュールに影響を及ぼすものです。この脆弱性により、ローカルユーザーが権限をrootユーザーに昇格させることが可能となります。コンテナ環境で利用している場合、ホストOS上での権限昇格に加え、コンテナからの脱出(コンテナエスケープ)につながる可能性も指摘されています。ただし、コンテナエスケープのPoC(概念実証)はまだ公開されていません。
緊急対策の必要性とリスク
この脆弱性に対する公式なカーネルパッチがリリースされるまでの間、影響を受けるモジュールを無効化することが緊急対策として推奨されています。しかし、この対策には機能的な影響が伴います。具体的には、VPN実装などで利用されるIPsecのESP機能や、AFSなどのRxRPCを利用しているアプリケーションは、モジュールを無効化することで動作しなくなるリスクがあります。脆弱性は独立しているため、片方だけを無効化しても残りの脆弱性は残る点に注意が必要です。
手動でのモジュール無効化手順
緊急対策として、影響を受けるカーネルモジュール(esp4, esp6, rxrpc)のロードをブロックする手動手順が提示されています。具体的には、`/etc/modprobe.d/dirty-frag.conf`ファイルを作成し、モジュールのロードを禁止設定します。その後、`update-initramfs`コマンドで初期RAMディスクイメージを再生成し、システム再起動前にモジュールがロードされないように設定を適用します。
結論
この脆弱性は深刻度が高いものの、カーネルアップデートによる恒久的な修正が最も重要です。緊急対策はあくまで一時的な措置であり、利用しているサービスへの影響を考慮した上で、速やかに公式パッチの適用を目指す必要があります。
原文の冒頭を表示(英語・3段落のみ)
Two local privilege escalation (LPE) vulnerabilities affecting the Linux kernel have been publicly disclosed on May 7, 2026. One of the vulnerabilities has been assigned the ID: CVE-2026-43284. The other CVE ID is pending. Both are referred to as “Dirty Frag.” The affected components are Linux kernel modules. The first vulnerability impacts the modules that provide support for ESP (Encapsulating Security Protocol), one of the protocols used for IPsec (Internet Protocol Security). The second vulnerability impacts the modules that provide support for RxRPC, a protocol used for AFS (Andrew File System), a distributed file system. The vulnerabilities affect multiple Linux distributions, including all Ubuntu releases.
The vulnerabilities do not have CVSS scores assigned in the CVE List or NVD, but are assessed by Canonical to have a CVSS 3.1 score of 7.8, corresponding to a severity of HIGH.
This post describes mitigations that disable the affected modules and can be applied when Linux kernel packages which implement the proposed patch will be released.
※ 著作権に配慮し、引用は冒頭3段落までです。続きは元記事をご覧ください。