平素はお名前.comをご利用いただきまして、誠にありがとうございます。
このたび、VPS(KVM)にて提供している各OSイメージのLinuxカーネルにおいて、
ローカル権限昇格およびコンテナエスケープの脆弱性(GhostLock、CVE-2026-43499)が報告されました。
本脆弱性が悪用された場合、サーバー上でコード実行可能な非特権ユーザーにより管理者(root)権限が取得されるおそれがあります。また、一部環境ではコンテナからホスト環境へのエスケープが可能となることが確認されています。
なお、本脆弱性はネットワーク経由で直接悪用されるものではなく、あらかじめサーバー上でコード実行可能な状況が必要ですが、すでに本脆弱性を悪用可能とする攻撃コード(PoC)の公開が確認されております。
対象の環境をご利用のお客様におかれましては、内容をご確認のうえ、OSベンダーが提供する修正版カーネルを含むセキュリティアップデートを速やかに適用いただきますようお願い申し上げます。
【脆弱性の概要】
Linuxカーネルのロック管理機構に起因するUse-After-Free脆弱性(GhostLock)が存在します。
CVE番号:CVE-2026-43499(High / CVSS 7.8)
【影響】
ローカルの非特権ユーザーによる管理者(root)権限への昇格、およびコンテナエスケープ
【対象となるお客様】
VPS(KVM)にてLinux系OSイメージをご利用中で、各OSベンダーが提供する修正前のLinuxカーネルを使用されているお客様が対象となります。
(対象OS例:Ubuntu、Debian、AlmaLinux、Rocky Linux、CentOS Stream など)
※影響を受けるとされる主なバージョン(v2.6.39 以上で、かつ以下の修正バージョン未満の環境):
・v6.1系列:v6.1.175 未満
・v6.6系列:v6.6.140 未満
・v6.12系列:v6.12.86 未満
・v6.18系列:v6.18.27 未満
・v7.0系列:v7.0.4 未満
【対策方法】
各OSベンダーより修正版カーネルが順次提供されています。
ご利用中の環境に応じて、提供されているセキュリティアップデートの有無をご確認のうえ、適用いただきますようお願いいたします。
また、アップデート適用後は、新しいカーネルを反映させるため、サーバーの再起動が必要となります。
■主なOSベンダーの参考情報