Linux カーネルの脆弱性 CVE-2026-46331 FIX:root 権限奪取の恐れ

New Linux pedit COW Exploit Allows Attackers to Gain System Root Access

2026/06/26 CyberSecurityNews — 新たに公開された Linux Kernel の脆弱性 CVE-2026-46331 は、Copy-on-Write (COW) のページ・キャッシュ破損の欠陥と、”net/sched” サブシステムの act_pedit コンポーネントを組み合わせたものである。この脆弱性を悪用する低権限のローカル攻撃者は、複数の主要な Linux ディストリビューションにおいて、完全な root 権限への昇格が可能となる。この “packet_edit_meme” と呼ばれるエクスプロイトは、現時点でサポート対象となっているエンタープライズ/コンシューマー向け Kernel を対象として、2026年6月に検証されている。

この脆弱性の根本的な原因は、Kernel コミット 899ee91156e5 で導入された部分的な COW ページ・キャッシュ破損バグにある。具体的には、Linux の traffic control (tc) フレームワークのトラフィック編集コンポーネントである、”net/sched act_pedit” サブシステムに存在する。Linux Kernel v5.18〜v7.1-rc6 に存在し、v7.1-rc7 で修正されている。

攻撃チェーンは、CAP_NET_ADMIN 権限を持つ user namespace の子プロセスを生成することから開始される。未特権 user namespace がデフォルトで有効化されているシステムでは、権限を持たないユーザーであっても、この権限の取得が可能である。

その後に、COW ページ・キャッシュ破損プリミティブを悪用するエクスプロイトにより、setuid-root バイナリ “/bin/su” のページ・キャッシュ済み ELF エントリ・ポイントが上書きされる。それにより、setgid(0)/setuid(0)/execve(“/bin/sh”) を実行するシェルコードが注入され、攻撃者による root シェルの取得が成立する。

今回の脆弱性は、最近の Linux システムにおける 4 件目の権限昇格の欠陥である。

VulnerabilityCVEDisclosedSubsystemWrite PrimitiveRoot Required?
Copy FailCVE-2026-31431April 30, 2026algif_aead (AF_ALG crypto)4-byte page-cache writeNo
DirtyFragCVE-2026-43284 / CVE-2026-43500May 8, 2026IPsec ESP (xfrm) + RxRPCFull write primitive (chained)No
FragnesiaCVE-2026-46300May 14, 2026XFRM ESP-in-TCPArbitrary byte writeNo
pedit COWCVE-2026-46331June 26, 2026net/sched act_peditOut-of-bounds page-cache writeNo
影響を受けるディストリビューション

この検証テストにより確認されたのは、広く導入されている複数のディストリビューションで悪用が成功することである。

DistributionKernelFlagResult
RHEL 10.06.12.0-228.el10NoneROOT
Debian 13 (Trixie)6.12.90+deb13.1NoneROOT
Ubuntu 24.04.46.17.0-22--ubuntuROOT
Ubuntu 26.047.0.0-14-generic--ubuntuFAIL

RHEL と Debian は、未特権 user namespace がデフォルトで有効化されているため、フラグを指定しなくても直ちに悪用できる状態である。RHEL には cls_basic および em_meta モジュールが存在しないが、エクスプロイトは自動的に matchall へとフォールバックし、同じ破損プリミティブを実現する。

Ubuntu では、未特権ユーザーによる user namespace の作成を制限するための、以下の sysctl が適用されている。

  • kernel.apparmor_restrict_unprivileged_userns:制限されていない user namespace の作成をブロックする。
  • kernel.apparmor_restrict_unprivileged_unconfined:aa-exec の permissive プロファイルが、この制限を解除することを防止する。

–ubuntu フラグが指定されると、trinity/chrome/flatpak などの userns ルールを持つ permissive プロファイルを介して、aa-exec 経由でエクスプロイトが再実行され、AppArmor による user namespace 作成の制限が事実上バイパスされる。

このバイパスは、Ubuntu 24.04.4 (unconfined=0) で機能するが、Ubuntu 26.04 (unconfined=1) では修正済みである。この制限が強化されたことで、上記の再実行経路全体がブロックされる。

緩和策

すでに Red Hat は、公式セキュリティ情報 RHSB-2026-008 を公開している。管理者に強く推奨されるのは、直ちに Kernel パッチを適用し、運用上可能な場合には sysctl を使用して未特権 user namespace の作成を制限し、予期しない aa-exec の呼び出しや namespace 作成イベントを監視することである。特に、v5.18 〜 v7.1-rc6 の Kernel を実行している組織は、この問題に対するパッチを最優先で適用する必要がある。