2026年5月21日 / 最終更新日 : 2026年5月21日 株式会社エス・ワイ・シー エンジニア セキュリティ

Linux の脆弱性 (CVE-2026-31431 : Copy Fail) について

こんにちは、SYC 松本です。
ゴールデンウィーク前に情報が公開された Linux の脆弱性 (CVE-2026-31431 : Copy Fail) について事前対策情報が揃う前?に公開され、ゴールデンウィーク後にサーバー管理者の方々はばたばたされていたのではないでしょうか。
サーバーに一般ユーザーでログインさえできれば、一定手順を踏むと不正に管理者権限に昇格できるという危険度の高い脆弱性です。

この脆弱性に関する具体的な情報は IPA 独立行政法人 情報処理機構様の記事などを参照ください。

通常の独立した Linux サーバーであれば各ディストリビューションから提供される対策バージョンへの更新、あるいは提示された軽減策を行えばよいところとなります。

しかしながら、周りをふと見まわすと Linux がベース OS となっているアプライアンス製品が有ったりするわけです。
これらは大体が通常の Linux 環境以上にいろいろ制限がかかっていて通常の操作が出来なかったりします。
先の記事などから影響受ける Linux バージョンを見ると、アプライアンスのバージョンは脆弱性に該当しそうではあるけども影響あるのかどうか、不安になりますよね。

HPE 製品では AirWave をご利用になられている場合、これはアプライアンスになりますがベース OS は Linux です。

HPE 社より本脆弱性に関する情報が公開されておりましたのでご案内いたします。
HPESBNW05059 rev.1 – Status of Copy Fail Vulnerability on HPE Aruba Networking Products (CVE-2026-31431)

ーー 記事抜粋 ーー
最近公開された Linux カーネルの脆弱性である Copy Fail(CVE-2026-31431) は、algif_aead 暗号インタフェース内の不適切なメモリ管理を悪用することで、ローカル権限のエスカレーションを可能にする。

  • 影響ある製品
    • HPE Aruba Networking Management Software (Airwave) 8.3.0.6 以下
    • HPE Aruba Networking AOS-CX
      • AOS-CX 10.17.xxxx  :AOS-CX 10.17.1010 以下
      • AOS-CX 10.16.xxxx  :AOS-CX 10.16.1040 以下
      • AOS-CX 10.12.xxxx  :AOS-CX 10.13.1170 以下
    • HPE Aruba Networking EdgeConnect Orchestrator
      • 全てのバージョン
    • HPE Aruba Networking Analytics and Location Engine (ALE)
      • 全てのバージョン
    • HPE Aruba Networking Meridian Asset Tracking
  • 調査中
    • HPE Aruba Networking Wireless Operating Systems (AOS)
    • HPE Aruba Networking NetEdit 2.17.x
    • HPE Aruba Networking InstantOn Switches
    • PE Aruba Networking Private 5G
  • 影響のない製品
    • HPE Aruba Networking ClearPass Policy Manager (CPPM)
      • CPPM 6.12.x: all
      • CPPM 6.11.x: all
    • HPE Aruba Networking EdgeConnect SD-WAN
      • ECOS 9.4.x.x: all
      • ECOS 9.5.x.x: all
      • ECOS 9.6.x.x: all
    • HPE Aruba Networking User Experience Insight (UXI)
    • HPE Aruba Networking Central On-Premises (COP/CNXOP)
    • HPE Aruba Networking Central (Cloud Auth / Cloud Guest)
    • HPE Networking InstantOn AP and Secure Gateway (SG)

上記に明記されていないその他のHPE Aruba Networking製品およびソフトウェア版は、この脆弱性の影響を受けません。

悪用に成功するには、システムのシェルまたはローカルコンソールへの直接アクセスが必要です。
影響を受けるシステムへのアクセスを制限するためのセキュリティベストプラクティスを導入することで、悪意のある悪用が成功する可能性を低減します。

対策

以下のバージョンに更新する

  • HPE Aruba Networking Management Software (Airwave)
    • 8.3.0.7 以降に更新する (2026年7月前半リリース予定)
  • HPE Aruba Networking AOS-CX (2026年6月前半リリース予定)
    • AOS-CX 10.17.xxxx  :AOS-CX 10.17.1020 以降に更新する
    • AOS-CX 10.16.xxxx  :AOS-CX 10.16.1050 以降に更新する
    • AOS-CX 10.12.xxxx  :AOS-CX 10.13.1180 以降に更新する
  • HPE Aruba Networking EdgeConnect Orchestrator
    • 全てのサポート対象バージョン(”yum update” で自動更新)
  • HPE Aruba Networking Analytics and Location Engine (ALE)
    • ALE 4.2.0.0 以降に更新する (2026年8月前半リリース予定)
  • HPE Aruba Networking Meridian Asset Tracking
    • 脆弱性に対応したパッチは 2026年5月20日から配布開始予定

ーー 記事抜粋 ーー

それぞれ修正パッチのリリース予定が 6月~8月 とまだ先になりますが更改されたらリリースノートなどで更新情報を確認し、更新適用を計画されることを推奨いたします。


カテゴリー
セキュリティ
AI関連

前の記事

私が使える Copilot は何?
2026年5月13日