kjur

⚠️ Let's Encrypt Halts Certificate Issuance After Cross-Signed Root Certificate Incident Source: https://t.co/UyHDVTTZPm Let's Encrypt temporarily suspended all certificate issuance on May 8, 2026, after engineers identified a critical issue involving a cross-signed certificate linking the organization's Generation X root to its upcoming Generation Y root infrastructure. The incident triggered a complete shutdown of issuance across both production and staging environments before services were restored within hours. At 18:37 UTC on May 8, Let's Encrypt engineers became aware of a potential incident and immediately halted all certificate issuance as a precautionary measure. #cybersecuritynews

Let's EncryptはUTC 18:37に「問題の可能性」を理由にすべての証明書発行を停止し、ACME APIは約2時間半にわたりHTTP 503を返した。原因は、新しい「Generation Y」ルート証明書と旧「Generation X」ルート証明書の間のクロス署名に不具合があったことである。復旧時には、発行を従来のGeneration Xルートに戻すことでサービスが再開された。 この障害は、新規発行や更新処理に影響したが、既存の証明書は有効期限まで問題なく使用可能である。ただし、更新タイミングにあったサイトでは証明書更新が失敗し、期限切れに近い場合はサイト停止のリスクがある。また、この影響は自前サーバだけでなく、DigitalOceanなどのマネージドサービスにも波及した。 対策として、更新状況の確認、再試行の監視、必要に応じたZeroSSLなど代替CAの利用を推奨している。さらに、証明書の有効期限が短くなる傾向により、こうした障害の影響が今後大きくなる可能性も指摘している。 https://t.co/IS7743WkgO

脆弱性対応の手間を劇的に削減する新ツール「CVE MCP Server」が登場した。複数サイトを横断して調査していた作業を自然言語1回で完結させ、AIが実務レベルの分析を行う点が注目されている。 このプロジェクトは開発者Mahipalが公開したもので、AnthropicのClaudeとModel Context Protocolを組み合わせ、27種類のセキュリティツールを統合する。NVDやEPSS、CISA KEV、GitHub、VirusTotal、Shodanなど21の外部APIに横断的にアクセスし、単一の自然言語クエリで情報を取得できる。 最大の特徴はCVSSだけに依存しないリスク評価で、EPSS35%、KEV30%、CVSS20%、PoC15%の重み付けにより優先度を算出する点にある。スコア76以上は緊急対応対象とされ、現場の判断を自動化する。 また依存関係の脆弱性検査やGitHubアドバイザリ検索、URL分析にも対応し、DevSecOps用途にも拡張されている。8つの機能はAPIキー不要で即利用可能であり、段階的に機能拡張できる設計となっている。 https://t.co/IWg3jla0US

Linuxカーネルに、わずか数百バイトのスクリプトで管理者権限を奪取できる重大欠陥が発覚した。Copy Failと呼ばれるこの脆弱性は広範な環境に影響し、検知も困難なため極めて深刻なリスクとなっている。 問題はCVE-2026-31431として報告され、暗号サブシステムのauthencesn処理におけるロジック不備が原因である。非特権ユーザーでも任意の読み取り可能ファイルのページキャッシュに対し、制御可能な4バイト書き込みを行える点が本質だ。攻撃者はsetuidバイナリを書き換えることで即座にroot権限を取得できる。さらにページキャッシュはシステム全体で共有されるため、コンテナ環境をまたいだ侵害も可能となる。ディスク上のファイル自体は変更されず、メモリ上のみ改変されるため、従来の整合性チェックでは異常を検知できない。原因はalgif_aeadにおけるin-place処理で、入力と出力の分離が行われていなかった点にある。修正ではout-of-place方式へ戻すことで問題を解消した。公開済みのPoCにより悪用リスクが高まっており、カーネル更新やAF_ALG機能の制限が急務とされる。 https://t.co/BZtnRBuFA6

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017. Website: https://t.co/f5G6KnEv35 Write-up: https://t.co/W86Pz2PC6C GitHub: https://t.co/zAMTC6nTRk It's a logic flaw in the kernel's crypto code (authencesn via AF_ALG and splice()) that allows a small write into the page cache, which can be used to tamper with a setuid binary like /usr/bin/su. Think how bad this is going to be for shared environments like Kubernetes, CI runners, and cloud sandboxes, where it enables container escape and tenant-to-host compromise. Found by Theori's Xint Code scanner, patched in the mainline kernel, and publicly disclosed on April 29, 2026; if you can't patch right away, the recommended workaround is to disable the algif_aead module.

Linuxカーネルに深刻な欠陥が見つかり、一般ユーザーでもわずかな操作で管理者権限を奪取できる可能性が明らかになった。単純なロジック不備により、ほぼ全ての主要ディストリビューションに影響する極めて危険な脆弱性である。 問題はCVE-2026-31431として追跡され、「Copy Fail」と呼ばれる。この欠陥は暗号サブシステムとページキャッシュの相互作用に起因し、非特権ユーザーでも任意ファイルのページキャッシュに対して4バイトの書き込みを実行できる。特にsetuidバイナリを書き換えることでroot権限を取得可能となる。攻撃はわずか732バイトのPythonスクリプトで成立し、UbuntuやRHELなど複数環境で再現されている。ディスク上のファイルは変更されないため検知が難しく、メモリ上の改変のみが即時反映される点も特徴だ。またページキャッシュ共有の仕組みにより、コンテナを越えた影響も確認されている。原因はAEAD処理のin-place最適化とauthencesnの設計が組み合わさったことで発生した。対策としてはカーネル更新が必須であり、暫定的にはAF_ALGの無効化も有効とされる。 https://t.co/t1XrWn6dNx

企業ネットワークで広く使われる脆弱性スキャナに深刻な欠陥が見つかった。Windows版エージェントを悪用すると最高権限で不正コード実行が可能となり、組織全体の安全性を揺るがす恐れがある。 今回の問題はTenableのNessus Agentに存在する特権昇格の欠陥で、NTFSジャンクションを悪用したシンボリックリンク攻撃に分類される。攻撃者はローカルアクセスを前提に細工したジャンクションを配置し、エージェントのファイル削除処理を意図しない場所へ誘導できる。これによりSYSTEM権限で任意ファイル削除が可能となり、環境破壊や後続の不正ペイロード配置を通じて完全なコード実行に発展する。 SYSTEM権限は管理者を上回る最高レベルであり、セキュリティ機能の無効化や永続化、ルートキット導入まで可能になる。特にサーバーや重要端末に導入されるケースが多いことから、侵害時の影響は極めて大きい。 同社はバージョン11.1.3で修正を提供済みで、速やかな更新を強く推奨している。継続的スキャン環境を運用する組織では優先度の高い対応が求められる。 https://t.co/oC6Y74Nu0k