概要
Qualys Threat Research Unit (TRU)は、Ubuntu Desktopバージョン24.04以降のデフォルトインストールに対して重大なローカル特権昇格(LPE)脆弱性が存在することを発表しました。この深刻度が高い脆弱性はCVE-2026-3888と呼ばれ、CVSS v3.1スコア7.8を獲得しています。
脆弱性の詳細
この脆弱性は、Ubuntuシステム内のsnap-confineとsystemd-tmpfilesという2つの標準的な高権限システムユーティリティ間での意図しない相互作用から生じています。snap-confineは、snapアプリケーションが安全に実行されるためのセキュアな実行環境を管理するsetuid rootバイナリーであり、マウント名前空間の分離やcgroupの強制、AppArmorポリシーのロードなどを担当します。
一方、systemd-tmpfilesは、/tmpなどの一時的なディレクトリのライフサイクルを管理し、予め定義されたタイマーに基づいて古いファイルを自動的にクリーンアップするサービスです。snap-confineが特定の一時的なディレクトリを使用してサンドボックスを作成することから、systemd-tmpfilesがこれらの同じ領域を定期的にクリーンアップすることで、不適切に設定されたクリーンアップルールが危険なローカルのレース条件を生じさせます。
脆弱性の悪用
CVE-2026-3888の悪用には、システムクリーニングデーモンが特定の一時ディレクトリ(/tmp/.snap)を削除するタイミングを見計らう必要があり、これは高攻撃複雑性評価を与えています。
この脆弱性は、snap-confineが必要とする特定の一時ディレクトリが削除された直後に、不正なファイルを含む新たなディレクトリを作成することで悪用されます。これにより、snapアプリケーションのサンドボックス初期化時に、高度に権限のあるsnap-confineユーティリティがこれらの攻撃者制御ファイルをルートとしてバインドマウントします。
影響するバージョンと対策
Ubuntu Desktop環境を使用している組織は、直ちにパッチを適用してこの脅威を軽減することが重要です。脆弱なソフトウェアにはsnapdのバージョン2.73+ubuntu24.04.1以前が含まれます。
- Ubuntu 24.04 LTS: snapd 2.73+ubuntu24.04.1以前
- Ubuntu 25.10 LTS: snapd 2.73+ubuntu25.10.1以前
- Ubuntu 26.04 LTS開発ブランチ: snapd 2.74.1+ubuntu26.04.1以前
また、16.04から22.04までのレガシーランタイムシステムはデフォルト設定では脆弱ではありませんが、環境を変更した場合にこの脅威にさらされる可能性があるため、パッチの適用が必要です。