このドキュメントでは、Alibaba Cloud Linux オペレーティングシステムにおける CVE-2026-43284 のホットパッチソリューションについて説明します。これにより、本番環境で安全にオンライン修正と段階的なデプロイを実行できます。
ホットパッチを適用すると、カーネルの実行パスが変更され、複雑な本番環境では安定性のリスクが生じる可能性があります。段階的なデプロイ戦略に厳密に従い、パッチをバッチで展開してください。一度に本番環境全体に適用しないでください。段階的なデプロイ中は、サービスの安定性、エラーログ、パフォーマンスメトリックを注意深く監視してください。異常がないことを確認した後にのみ、デプロイ範囲を徐々に拡大してください。問題が発生した場合は、直ちにロールバックを実行してください。
このホットパッチソリューションは、Alibaba Cloud Linux オペレーティングシステムにのみ適用されます。
背景情報
CVE-2026-43284 は、Linux カーネルの IPsec カプセル化セキュリティペイロード (ESP) プロトコルの実装における、リスクの高いローカルでの権限昇格の脆弱性です。
この脆弱性は、カーネルが未整列の暗号化されたデータフラグメント (Frags) を処理する際に、メモリページの書き込み可能属性を正しく検証しないことが原因で発生します。攻撃者は、特定の IPsec ポリシーとソケット操作を巧妙に作成することで、カーネルを騙して復号されたデータを保護されたファイルのページキャッシュに書き込ませることができます。書き込み位置を正確に制御することにより、攻撃者は直接的なファイル書き込み権限なしに、システム設定やメモリ内の特権バイナリのコピーを変更でき、標準ユーザーから root への権限昇格につながります。詳細については、「[セキュリティ速報] Linux カーネル「Dirty Frag」ローカルでの権限昇格の脆弱性リスクに関する通知」をご参照ください。
ソリューション
このソリューションは、公式の上流パッチからホットパッチモジュールを構築し、カーネルライブパッチ機能を使用して、カーネル関数のパスを動的にリダイレクトし、ESP プロトコルスタック内の共有ページを処理するロジックを修正します。
修正の核となるのは、脆弱なインプレース復号パスを安全なコピーオンライトモデルにリダイレクトすることです。この修正により、サービス中断やシステムの再起動なしでオンライン修正が可能になります。
ホットパッチソリューションは、一部のシナリオでゼロコピー復号パスをインターセプトし、インプレース復号をメモリコピーモードにリダイレクトします。その結果、高帯域幅の IPsec サービスでは、CPU 使用率が増加し、ネットワークスループットが低下する可能性があります。ビジネスパフォーマンスメトリックとシステム負荷を注意深く監視してください。さらに、パッチを適用する関数がホットパス上にある特定のシナリオでは、ホットパッチが自動的にロードされず、システムが脆弱なままになることがあります。この場合、手動でホットパッチをロードし、有効になっていることを確認してください。
サポート対象の製品とバージョン
製品 | カーネルバージョン | アーキテクチャ |
Alibaba Cloud Linux 3 | 5.10.134-19.3.1.al8 以前 | x86_64 / aarch64 |
Alibaba Cloud Linux 4 | 6.6.102-5.4.1.alnx4 以前 | x86_64 |
ホットパッチソリューションは、aarch64 アーキテクチャの Alibaba Cloud Linux 4 では利用できません。カーネルをアップグレードして脆弱性を修正してください。
操作手順
手順1:前提条件の確認
カーネルライブパッチのサポートが有効になっていることを確認します。デフォルトで有効になっています。
# ライブパッチが有効になっているか確認します
test -d /sys/kernel/livepatch && echo "livepatch sysfs OK"手順2:RPM パッケージのインストール
# 現在のカーネルバージョンを確認します
uname -r
# 利用可能なホットパッチパッケージを検索します
yum search kernel-hotfix-27289074
# カーネルバージョンに一致する RPM パッケージをインストールします
sudo yum install kernel-hotfix-27289074-<kernel-version>カーネルバージョンを変更した場合は、対応するホットパッチパッケージをインストールする必要があります。
手順3:ステータスの確認
# ホットパッチのロードステータスを確認します
kpatch list期待される出力: Loaded patch modules セクションに kpatch_27289074 [enabled] が含まれています。
ロールバック
問題が発生した場合は、パッケージをアンインストールしてロールバックしてください。
sudo yum remove kernel-hotfix-27289074-*ロールバックを確認するには:
kpatch list期待される出力:出力に kpatch_27289074 [enabled] が含まれなくなります。
よくある質問
ロード失敗時の対応
ホットパッチは通常、RPM パッケージのインストール中に自動的にロードされます。
ターゲット関数がホットパス上にある場合など、一部のケースでは、ホットパッチが自動的にロードされないことがあります。その場合は、手動でロードしてください。
kpatch load kpatch_27289074
kpatch list出力に kpatch_27289074 [enabled] が含まれている場合、ホットパッチは正常にロードされています。