2026/05/01 1:43

Gentoo の開発者らには、CopyFail が開示されていませんでした。

RSS: https://news.ycombinator.com/rss

要約▶

日本語訳:

重要なセキュリティ勧告により、Linux カーネルに「CopyFail」（CVE-2026-31431）と名付けられたローカルでの権限昇格の脆弱性が存在することが警告されています。この問題により、未許可のユーザーが elevated なシステムアクセスを取得できるようになっています。2017 年に commit

72548b093ee...

で導入されたこの問題は、4.14 以降のバージョンに影響を与えており、修正を適用するのが困難なため、6.12、6.6、6.1、5.15、および 5.10 の主要な stable Longterm ブランチなど複数の安定版で未パッチの状態が続いています。この脆弱性は後のカーネルで解決済み（Fixed: 6.18.22, 6.19.12, 7.0）であり、これらの修正済みのバージョンを使用しているユーザーは、4 月 11 日にリリースされた安全なパッケージを取得できるようになりました。安定性の要件によりアップグレードが不可能な 6.6 や 6.12 などのレガシービルドを実行しているシステムに対しては、直ちに展開可能な専用ワークアラウンドパッチ（

0001-crypto-disable-authencesn-module-for-CVE-2026-31431.patch

）が利用可能です。システム管理者は、権限昇格攻撃を防ぐために、自身の特定のカーネルバージョンを公式の stable commit（https://git.kernel.org/stable/ で入手可能）と照合することを最優先し、新しいリリースへのアップグレード、ワークアラウンドパッチの適用、または既存の脆弱性の適切な管理を行う必要があります。

翻訳元テキスト:

A critical security advisory warns that the Linux Kernel contains a local privilege escalation vulnerability known as "CopyFail" (CVE-2026-31431), allowing unauthorized users to gain elevated system access. Introduced in 2017 via commit

72548b093ee...

and affecting versions from 4.14 upwards, the issue remains unpatched in several stable Longterm branches, including 6.12, 6.6, 6.1, 5.15, and 5.10, because applying fixes is difficult due to significant API changes. While the vulnerability was resolved in later kernels (Fixed: 6.18.22, 6.19.12, 7.0), users on these fixed versions can now obtain secure packages released on April 11th. For systems running legacy builds like 6.6 or 6.12 where upgrading is impossible due to stability requirements, a dedicated workaround patch (

0001-crypto-disable-authencesn-module-for-CVE-2026-31431.patch

) is available for immediate deployment. System administrators must prioritize verifying their specific kernel versions against official stable commits (available at https://git.kernel.org/stable/) and either upgrading to the new releases, applying the workaround patch, or managing existing vulnerabilities accordingly to prevent privilege escalation attacks.

本文

製品：Openwall GNU/*/Linux サーバーオペレーティングシステム、Linux カーネルランタイムガード、パスワードクラッカー「John the Ripper」。クラウド上のあらゆるプラットフォーム向けに無料でオープンソース提供。Pro バージョンは Linux および macOS に対応。パスワードクラッキング用の単語リスト。パスワード品質管理ポリシー強制ツール「passwdqc」。UNIX 向けに無料でオープンソース提供。Windows（Active Directory）向け Pro バージョン。yescrypt キループ関数およびパスワードハッシング機能。「yespower」による証明-of-ワーク（PoW）。crypt_blowfish パスワードハッシング。phpass は PHP 向けの同機能実装。tcb を活用した優れたパスワードシャドウ化手法。プラグイン型認証モジュール（PAM）。ポートスキャン検知ツール「scanlogd」。軽量な POP3 デモン「popa3d」。メーリングリストへの Web インターフェースを提供する「blists」。シングルユーザーモードログインを可能にする「msulogin」。「php_mt_seed」による mt_rand() 関数のクラッキング機能。

サービス・出版物：記事、発表会プレゼンテーション。リソース：メーリングリスト、コミュニティウィキ、ソースコードリポジトリ（GitHub）、ファイルアーカイブおよびミラーサイト、デジタル署名の検証方法、「OVE ID」、最新情報ページ。[<前] [次>] [<スレッド前] [スレッド次>] [日付] [月] [年] [一覧]

Message-ID: 87se8dgicq.fsf@gentoo.org 日付：2026 年 4 月 30 日（木）05:52:37 +0100 送信元：Sam James <sam@...too.org> 宛先：oss-security@lists.openwall.com CC: Jan Schaumann jschauma@janmeister.org 件名：Re: CVE-2026-31431: CopyFail: linux ローカル権限昇格

Eddie Chapman 氏（eddie@chappie.net）のメッセージを抄録します。

4 月 29 日、21:23 に Jan Schaumann 氏は次のように記述されています：

> 「影響を受けるバージョンおよび修正済みバージョン」
> ===================================================
> この不具合は 4.14 カーネルでコミット 72548b093ee38a6d4f2a19e6ef1948ae05c181f7 で導入され、
> コミット fafe0fa2995a0f7073c1c358d7d3145bcc9aedd8 によって 6.18.22 版で修正済みです。
> また、同コミットによる不具合は、コミット ce42ee423e58dffa5ec03524054c9d8bfd4f6237 で
> 6.19.12 版で修正済みです。さらに同コミットによる不具合は、コミット a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5 により
> 7.0 版で修正済みです。
> 
> https://git.kernel.org/stable/c/fafe0fa2995a0f7073c1c358d7d3145bcc9aedd8
> https://git.kernel.org/stable/c/ce42ee423e58dffa5ec03524054c9d8bfd4f6237
> https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5

> 「近年、カーネルで見られる最も深刻な『make-me-root（自機を Root にする）』脆弱性の一つと言えます。
> 4 月 11 日に、修正パッチがバックポートされた 6.19.12 および 6.18.22 が公開されました。
> 
> その一方、Longterm バージョンである 6.12、6.6、6.1、5.15、5.10 はまだ修正パッチを適用しておらず、
> 現在（執筆時）の上流 stable キューにはそのような内容も見当たりません。
> 私は専門ではありませんが、そこまで遡ってバックポートするのは単純ではないのではないかと考えられます。
> この不具合は 2017 年に導入されたものであり、これほど古いカーネルもすべて影響を受けているのでしょうか？
> もしくは何かを見落としているでしょうか？」

正直申し上げますと、そのまま適用することはできません。つきまして是我們が採用予定のワークアラウンドを添付します。
私自身は IPSec の専門家ではありませんが、現時点ではこれが比較的好ましい選択肢であると判断しています。

バックポートを試みたところ、いくつかの API 変更があり、直ちに導入が必要な事項であることから慎重になるべきだと判断しました。

> [...]
> 
> 「何が起きたのか？今日早些に embargo が破られたのだろうか？
> あくまで誰かの指を指す意図はない。我々のコミュニティで物事を進めようとする方々には、
> 特に AI 関連の負担が増している現状においても、多大な敬意と支援に値する。

なお、Linux カーネルの脆弱性については、報告者が linux-distros メーリングリストに直接持ち寄らない限り、
istribution 側に事前警告（heads-up）は行われません。今回のケースも例外ではありませんでした。

-- Eddie

sam

添付ファイル一覧：

"0001-crypto-disable-authencesn-module-for-CVE-2026-31431.patch" （タイプ：text/x-patch、サイズ：1,543 バイト）
"signature.asc" （タイプ：application/pgp-signature、サイズ：419 バイト）

本メーリングリストに対応する「オープンソースソフトウェアセキュリティ Wiki」をご確認ください。メーリングリストの使い勝手や利用法についてご不明な点がございましたら、Wikipedia の関連項目をご覧いただくとともに、メッセージ送信に関する適切な書式指引を以下のガイドラインより確認いたしますようお願い申し上げます。

同じ日のほかのニュース

一覧に戻る →

2026/05/01 4:40

リンクedin は、拡張機能を 6,278 つスキャンし、その結果を全てのリクエストに暗号化して含めています。

## Japanese Translation: LinkedIn は、同意なく特定の Chrome 拡張機能を検出し処罰するために、ユーザーのブラウザを秘密裏にスキャンしており、基本的なプライバシー原則違反となっています。2026 年 4 月現在、そのスキャンカタログには 6,278 の拡張機能エントリが含まれており、少なくとも 2017 年から（当初は 38 から）積極的に維持されています。各拡張機能について、LinkedIn は chrome-extension:// URL に対して fetch() リクエストを發行し、失敗した場合はエラーがログに記録され、成功した場合は無視されて解決し、1 回の訪問あたり最大 6,278 のデータポイントが発生します。~1.6 MB の minified（圧縮された）かつ部分的に暗号化された JavaScript ファイルには、ハードコードされた拡張機能 ID と特定の web_accessible_resources パスが埋め込まれています。スキャンは 2 つのモードで実行されます：Promise.allSettled() を使用した同時並列リクエストと、設定可能な遅延（ 때로는 requestIdleCallback に委譲される場合もあり）を持つ順次リクエストであり、パフォーマンスへの影響を隠蔽するためです。二次的なシステム「Spectroscopy」は、ハードコードされたリストに含まれていなくても chrome-extension:// URL を参照するアクティブなインタラクションを検出するために、独立して DOM ツリーを行進します。拡張機能のみならず、LinkedIn の APFC/DNA ファフィンガープリントでは、キャンバスフィンガープリント、WebGL レンダラー、音声処理、インストール済みフォント、画面解像度、ピクセル比率、ハードウェア並列性、デバイスメモリ、バッテリーレベル、WebRTC によるローカル IP、タイムゾーン、言語など 48 の特性を収集し、これらを開示なしに収穫します。検出された拡張機能 ID は AedEvent および SpectroscopyEvent オブジェクトにパッケージ化され、RSA 公開鍵で暗号化され、LinkedIn の li/track エンドポイントに送信され、セッション中の後続のすべての API リクエストにおいて HTTP ヘッダーとして注入されます。これらの実践により、求職ツール、政治コンテンツ拡張機能、宗教活動ツール、障害者支援ソフトウェア、神経多様性関連アプリケーションへの執行措置が可能となり、また LinkedIn は個人の詳細（例：アクティブな求職活動）を推測し、従業員間の組織ツールおよびワークフローをマッピングすることが可能です。この暗黙的なスキャンは LinkedIn のプライバシーポリシーに開示されておらず、EU デジタル市場法に違反しており、ゲートキーパーであるマイクロソフト（2024 年に指定）に対し、サードパーティツールを許可し、差別的な執行を禁止することを求めています。browsergate.eu によって公開準備が整っている完全な裁判所文書を通じて、法律当局——バイエルン州中央サイバー犯罪捜査庁（バーミング）など——は刑事調査を開始しました。ユーザーおよび企業は今後、プライバシー侵害とセキュリティ構成の暴露に対するリスクが高まっています。

2026/05/01 1:09

PyTorch Lightning の AI トレーニングライブラリに、神話上の風化獣「シャイ・フールード」をテーマにしたマルウェアが検出された

## Japanese Translation: 人気の PyPI パッケージ「lightning」の脆弱なバージョン 2（2.6.2 および 2.6.3）が、2026 年 4 月 30 日に公開されたことが、"Shai-Hulud"というテーマのオブフスクエードされた JavaScript 負荷を含むサプライチェーン攻撃で利用されました。マルウェアはモジュールをインポートするだけで自動的に実行され、認証情報、認証トークン、環境変数、クラウドシークレット（AWS、Azure Key Vault、GCP Secret Manager）、およびローカルファイルシステムの認証情報ファイルを盗みます。また、「EveryBoiWeBuildIsaWormBoi」という特定の命名規則と、"EveryBoiWeBuildIsAWormyBoi"で始まるコミットメッセージを用いて、公開の GitHub リポジトリを毒付けようとし、さらに C2 サーバーへの HTTPS POST、二重 base64 符号化されたトークンを伴う GitHub コミット検索デッドドロップ、攻撃者による公開リポジトリの利用、および `ghs_` トークンを用いて被害者のリポジトリに直接プッシュする、4 つの並列データ流出チャネルを利用しています。この攻撃は、悪用された npm 認証情報を使用して公開されるあらゆるパッケージに対して、14.8 MB の `setup.mjs` ドロッパー（Bun ランタイム v1.3.13 をブートストアップする）と `router_runtime.js` ファイルを注入することで、PyPI から npm へと感染を広げます。永続性を確保するために、マルウェアは人気のある開発ツール設定ファイルにフックを注入します：Claude Code の `.claude/settings.json` への "SessionStart"フックと、VS Code の `.vscode/tasks.json` への `runOn: folderOpen` タスクです。攻撃者が書込みアクセス権を持っている場合、「Formatter」という名前の悪意のある GitHub Actions ワークフローがプッシュされ、「format-results」というダウンロード可能なアーティファクトとしてシークレットがダンプされます。さらに、`_runtime/`ディレクトリや `start.py`のようなファイルに隠れたフックも注入されます。セキュリティ企業 Semgrep は、特定の検出規則を含む緊急のアドバースを発表しており、詳細は https://semgrep.dev/orgs/-/advisories で入手できます。影響を受けたユーザーは、直ちにすべての盗まれた認証情報（GitHub トークン、クラウドキー、API キー）の再発行を行い、`.claude/`、`.vscode/`、`_runtime/`ディレクトリなどに注入された悪意のあるスクリプトを含むプロジェクトを監査し、将来のサプライチェーン侵害を防ぐために厳格な依存関係フィルタを実装する必要があります。

2026/05/01 5:33

アップル、第四半期業績を発表

## Japanese Translation: アップルは、2026 年 3 月 28 日に終了した fiscal second quarter（第 2 四半期）で史上最高益を記録し、売上高は 1,112 億ドル（前年同期比 17% 増）、一株当たり利益は 2.01 ドル（同 22% 増）となりました。この業績は、iPhone 17 シリーズ（新 iPhone 17e を含む）への特異な需要から生じた iPhone 売上高の歴代最高記録、サービスの歴史的な成長、そして M4チップ搭載 iPad Air と MacBook Neo の成功した発売によって牽引されました。稼働キャッシュフローは四半期史上最高の 280 億ドルを超え、アップルの既存基盤はすべての主要製品カテゴリーおよび地域で史上最高に達しました。このモメンタムを報いるため、アップルは一株当たり 0.27 ドルの配当（4% 増）を宣告し、2026 年 5 月 14 日に記録日（レコードデー）として 2026 年 5 月 11 日の株主に対して支払い可能にするほか、追加の 1,000 億ドル規模の自社株式買回プログラムを承認しました。アップルの利益発表会合は、2026 年 4 月 30 日午後 2 時（太平洋標準時間）にライブストリーミング開始され、約 2 週間後のリプレイも利用可能です。詳細は apple.com/investor/earnings-call で確認できます。同社は堅調な財務体質とすべての主要セグメントにおける消費者の積極的な関与を強調しました。