Linux の脆弱性 ssh-keysign-pwn CVE-2026-46333 が FIX：深刻な情報漏洩と PoC の登場

Linux “ssh-keysign-pwn” Flaw Exposing Critical Authentication Files

2026/05/15 gbhackers — Linux カーネルに存在する脆弱性 ssh-keysign-pwn により、SSH 秘密鍵および “/etc/shadow” に格納されたハッシュ化パスワードへの不正アクセスのリスクが生じている。この数百万規模の Linux システムに影響を及ぼす脆弱性 CVE-2026-46333 (GHSA-pm8f-4p6p-6×53) は、約 6 年間にわたり未検知で存在し、2026年5月15日 に National Vulnerability Database へ公開された。

Linux の ssh-keysign-pwn 脆弱性

この問題の核心は、Linux カーネルの __ptrace_may_access() 関数における競合状態 (race condition) にある。この関数は、あるプロセスから他プロセスに対する、参照／トレースを制御するものだ。この脆弱性は、”core dump” 生成可否に関連する概念である、”dumpability” ロジックの欠陥に起因する。

この問題は、プロセス終了シーケンス中に発生する。

ssh-keysign や chage のような特権プロセスが、do_exit() を介して終了処理を開始すると、最初に exit_mm() が呼び出され、メモリポインタ (mm) が NULL に設定される。しかし、exit_files() が実行されるまでの短い時間において、機密性の高いファイル記述子 (FD：File Descriptor) は開いた状態で保持される。

この短い時間ウィンドウにおいて、pidfd_getfd() を悪用する非特権ローカル攻撃者は、FD の奪取が可能になる。

さらに、ptrace_may_access() は、メモリマップを持たないスレッド (カーネルスレッドを含む) に対しても “dumpability” を評価する。このロジック・ギャップにより、通常のユーザー権限を持つ攻撃者であっても、CAP_SYS_PTRACE 権限なしで悪用が可能となる。

実際の影響は深刻である。

ssh-keysign の FD を乗っ取った攻撃者は、ホストの SSH 秘密鍵への読み取りアクセスを取得する。これにより、なりすまし攻撃や man-in-the-middle (MitM) 攻撃が可能となり、その状態が鍵ローテーションまで持続されてしまう。

さらに、この競合状態により “/etc/shadow” が露出する可能性がある。それにより、すべてのユーザー・アカウントに対するオフライン・パスワード・クラッキング攻撃の入口が発生する。

すでに PoC エクスプロイトが GitHub (github.com/0xdeadbeefnetwork/ssh-keysign-pwn) 上で公開され、悪用の障壁が大幅に低下している。

影響範囲

この脆弱性の影響を受ける Linux カーネルの範囲は、2026年5月14日にマージされた commit 31e62c2ebbfd 以前の、すべてのバージョンとなる。 したがって、Ubuntu／Debian／Arch Linux／CentOS／Raspberry Pi OS などの、主要ディストリビューションも対象となる。

OpenSSH ユーティリティなどの、特権プロセスを実行する未パッチ・システムは特にリスクが高い。すでに Linux カーネル開発チームは、複数の stable ブランチに修正を提供しており、公式カーネル Git リポジトリからパッチが利用可能である。

システム管理者は、即時カーネル更新を適用する必要がある。パッチ適用が困難な場合には、ローカル・ユーザー・アクセス制限および ptrace 権限のポリシー監査によりリスクを低減できる。

この修正では “dumpability” ロジックが改善され、メモリマップを持たないスレッドが “最後の dumpability 値” を参照するよう変更された。

また、この挙動を上書きするには、明示的な CAP_SYS_PTRACE 権限が必要となるため、悪用を可能にしていた競合ウィンドウは閉じられた。

訳者後書：Linux カーネルに 6 年間にわたり潜んでいた、深刻な脆弱性について解説する記事です。この問題の原因は、特権プログラムが終了する際のメモリ解放とファイル閉鎖のタイミングに生じる競合状態と、その際のアクセス制限 “ptrace” の判定ロジックの不備にあります。一般ユーザー権限しか持たないローカルの脅威アクターであっても、この脆弱性 CVE-2026-46333 に対する攻撃が可能であり、終了間際の特権プロセスから通信の窓口を横取りできてしまいます。結果として、本来アクセスできない SSH 秘密鍵やパスワード・ハッシュ “/etc/shadow” が盗み取られ、システム全体の完全な乗っ取りに繋がる危険があります。主要 OS に広く影響するため、管理者は速やかに最新カーネルへのアップデートを適用する必要があります。よろしければ、Linux Kernel での検索結果も、ご参照ください。