「CVE」のコラム

2026年4月末に公開された Linux カーネルの権限昇格脆弱性「Copy Fail」（CVE-2026-31431、CVSS 7.8）の概要と対策をまとめます。algif_aead モジュールの2017年導入の in-place 最適化が原因で、低権限のローカルユーザーがページキャッシュ経由で root を取得可能。修正は in-place を out-of-place へ revert する形で 6.18.22 / 6.19.12 / 7.0 に投入されました。本記事では影響範囲・既知のディストリ対応・即時にできる緩和策（モジュール無効化、seccomp による AF_ALG 遮断）を実務目線で整理します。