RHSB-2026-02 暗号化サブシステムの特権昇格 - Linux カーネル - (CVE-2026-31431)

エグゼクティブサマリー

Linux カーネルの暗号化インターフェイスに脆弱性が確認されました。ローカルアカウントを持つユーザーが、この脆弱性を悪用して、システム管理者などの root 特権を取得する可能性があります。

この問題には CVE-2026-31431 が割り当てられており、重大度は「重要」です。システム設定を調整することで、影響をさらに軽減できます。

重大度は「重大」には満たないものの、Red Hat は修正プログラムの提供を前倒しで行いました。多くの修正プログラムが 利用可能 で、今後さらに多くの修正プログラムが提供される予定です。最新の情報 (影響を受ける Red Hat 製品の完全なリストを含む) は、脆弱性の CVE ページ を参照してください。

軽減策

ローカルアクセスを制限するあらゆるセキュリティ強化策が、悪用のリスクを減らすのに役立ちます。具体的な対策の例として、SSH を無効にする、SELinux が enforcing モードであることを確認する、デフォルトの Security Context Constraints (SCC) を使用する、ワークロードを root 以外のユーザーとして実行する、oc debug コマンドへのアクセスを信頼できるクラスター管理者のみに制限する、などが挙げられます。このリストはすべて網羅されているわけではなく、各対策を適用すべきかどうかについては、お客様の運用要件およびセキュリティーポリシーに照らして評価する必要があります。さらに、いずれか 1 つのアクセス方法を無効にしたからといって、ユーザーがローカルアクセスを取得するための他の手段まで完全に排除されるわけではありません

全体的な指針

この勧告は、Red Hat 製品の大半を対象とします。

警告: カーネルの暗号化機能を使用する機能を変更すると、パフォーマンスに影響が出る可能性があります。影響を受けるモジュールはカーネルに組み込まれているためブラックリストに登録できませんが、影響を受ける機能自体は以下のブート引数を使用してブロックできます。

initcall_blacklist=algif_aead_init

または、af_alg インターフェイス自体をブロックすることも可能です。

initcall_blacklist=af_alg_init

別の方法として、影響を受けるアルゴリズムをブロックすることもできます。

initcall_blacklist=crypto_authenc_esn_module_init

製品別の軽減策

• Red Hat Enterprise Linux
• OpenShift 4
• Managed OpenShift (ROSA Classic / ROSA HCP / ARO / OSD)
• ROSA Classic と OpenShift Dedicated CCS
• ROSA Hosted Control Plane
• ARO Hosted Control Plane
• Advanced Cluster Management Governance Policy

修復スケジュール

本脆弱性の開示および修正に至った経緯について多くの関心が寄せられているため、以下のタイムラインに主要な出来事を概説します。

2026-03-23
報告者がアップストリームに非公式に問い合わせ

2026-03-24
アップストリームは報告を受けたことを認める

2026-03-25
アップストリーム/報告者がパッチを提案およびレビューする

2026-04-01
アップストリームはメインラインにパッチをコミットした

2026-04-22
CVE は公開済み、CVSS は不明

2026-04-22
Red Hat は脆弱性を認識し、中程度のレベルと評価した

2026-04-25
アップストリームは CVSS を 7.8 と割り当てた

2026-04-29
報告者がブログ記事、技術解説、概念実証 (PoC) を投稿する

2026-04-29
Metasploit モジュールが公開された

2026-04-29
Red Hat、修正プログラムのリリース緊急度を引き上げる

2026-04-30
Red Hat はこのセキュリティー情報を公開する

2026-05-01
CISA が KEV カタログに脆弱性を追加する

2026-05-04
Red Hat 製品 (RHEL-9) の最初の修正プログラムがリリースされる