技術的な説明
Linux カーネルの暗号化サブシステム (algif_aead モジュール) における決定的なロジックの欠陥により、権限を持たないローカル攻撃者が共有カーネル ページキャッシュを破損することで、root 権限昇格を実現できます。この脆弱性は Kubernetes クラスタとコンテナプラットフォームに影響を与えます。共有ページキャッシュにより、侵害されたコンテナは物理ファイルが変更されないまま、ファイル整合性チェックをトリガーすることなくホスト上の権限付きの実行可能ファイルのメモリ内コピーを変更できます。CISA は 2026 年 5 月 1 日に CVE-2026-31431 を KEV カタログに追加し、修復期限は 5 月 15 日です。
攻撃経路
暗号化操作中の TOCTOU 欠陥を悪用する 732 バイトの Python スクリプトによるローカル権限昇格。このエクスプロイトは、正当なバッファ領域を超えて 4 バイトの制御されたデータをシステム ファイル ページキャッシュに直接書き込み、ディスク ファイルはそのままでメモリ内の信頼できる実行可能ファイル (sudo、su) を変更することができます。修正なしで主要なディストリビューション全体で確定的に動作します。
影響を受けるシステム
Linux カーネル 4.14 から 6.19.12 (2017~2026)。マルチテナント Linux ホスト、Kubernetes クラスタ、コンテナプラットフォーム、CI/CD ランナー、およびユーザー提供のコードを実行しているクラウド SaaS 環境が最もリスクが高いです。Ubuntu 24.04 LTS、Amazon Linux 2023、RHEL 10.1、および SUSE 16 に脆弱性が確認されています。
緩和策
ベンダーが発行したカーネル更新プログラムをすぐに適用してください。暫定的な回避策: 「echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf」を使用して algif_aead カーネル モジュールをブラックリストに登録し、「rmmod algif_aead」を実行してください。Microsoft は 2026 年 5 月 1 日現在、悪用は概念実証テストに限定されていることを指摘しました。