Microsoftが、Linuxカーネルの権限昇格脆弱性「Copy Fail(CVE-2026-31431)」および「DirtyFrag(CVE-2026-43284/CVE-2026-43500)」に対する緩和策を、Azure Kubernetes Fleet Managerを使って複数のAKSクラスターへ安全に一括展開する手順を公開した。
なぜこの脆弱性が危険なのか
今回対象となるCVE群は、コンテナからホストノードへのroot権限昇格(Local Privilege Escalation / LPE)を可能にする深刻な脆弱性だ。AKSのLinuxノードが対象で、緩和策を適用するまでの間、悪意のあるコンテナがノード全体を乗っ取るリスクがある。
Kubernetesのマルチテナント環境では、ひとつのノードに複数の名前空間・複数のチームのワークロードが同居している。ノードへのroot昇格が成功した場合、そのノード上のすべてのPodのデータ、シークレット、通信が危険にさらされる。コンテナ隔離の前提が根底から崩れるという意味で、影響範囲は想像以上に広い。
2段階の緩和アプローチ
Azure Kubernetes Fleet Managerを使った緩和策は、即時対応と恒久対応の2段階に分かれている。
即時対応:DaemonSetによるカーネルモジュール無効化
ノードイメージのアップグレードがすぐに適用できない環境向けの暫定策だ。algif_aead(Copy Fail関連)、esp4、esp6、rxrpc(DirtyFrag関連)という4つの脆弱なカーネルモジュールをブロックするDaemonSetを、Fleet ManagerのClusterResourcePlacementを使って複数クラスターへ一括展開する。
DaemonSetはkube-systemではなく専用の名前空間kernel-lpe-cve-mitigate-nsに配置される。意図の明確化と管理のしやすさを両立した設計だ。
展開はClusterStagedUpdateRunによりステージ管理される。canaryグループから段階的に適用できるため、問題が生じた場合の影響範囲を最小化できる。
出典: この記事は Apply Copy Fail and DirtyFrag CVE mitigations at-scale using Azure Kubernetes Fleet Manager の内容をもとに、筆者の見解を加えて独自に執筆したものです。