【高】CVE-2026-43469 Linuxカーネルxprtrdmaの処理停止脆弱性を悪用したサービス停止を防ぐAIセキュリティ対策ガイド

結論

• 危険度: High (CVSS 7.5)
• 対象: (詳細はベンダーアドバイザリ参照)
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

最終更新: 2026-05-12 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP 1: 何が起きているか

一言でいうと

CVE-2026-43469はLinuxカーネルのxprtrdmaモジュールで、特定のメモリ不足時に処理が正常に進まずシステムの動作が止まる脆弱性です。AI/LLMを運用するサーバの安定性に影響しうるため、インフラ管理者は早急に対応を検討すべき脆弱性です。

やさしく説明すると

この脆弱性は、Linuxの中で特別な通信処理を行う部分が正常に終了しない問題です。みなさんのコンピュータが「作業が終わった」と認識できず、ずっと待ち続けてしまうため、実質的に「フリーズ」してしまいます。これは、鍵を閉めるべき玄関を締め忘れて、ずっと誰かが立ち往生しているようなものです。

技術的な原因

根本原因は、Linuxカーネルのxprtrdmaモジュールにおける早期終了時のre_receivingカウンタのデクリメント漏れにあります。具体的には、rpcrdma_post_recvs()関数がワークリクエストの作成に失敗した場合（例えばメモリ不足時）、re_receivingカウンタを減らす処理をスキップしてしまいます。その結果、re_receivingが0にならず、rpcrdma_xprt_drain()が永遠に待機状態となる問題です。

CWE分類は明示されていませんが、類似例として「リソースリーク」「デッドロック」問題として扱えます。

影響を受けると何が困るか

• AI/LLMサーバの特定タスクが停止し、正常な処理が遅延・停止する
• 高負荷環境でシステムがハングする可能性があるため、可用性が損なわれる
• AgentフレームワークやMLインフラチームの運用に支障が出る
• AI GatewayやLLM Proxyなどのサービス停止で、連携するAI駆動ツール（Cursor/Cline、Copilotなど）にも影響
• 最悪の場合、他サービスへの連鎖的な停止・遅延を招く

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 中

判断根拠

• CVSSスコアは7.5のHighで、実務的には「重要だが至急対応レベルではない」
• EPSSスコアは0.05%と低く、直近30日での悪用予測確率も低い
• ランサムウェアなどによる悪用の報告は現在ない
• 公開PoC（Proof of Concept）コードは未確認、エクスプロイト情報なし
• 攻撃条件としてはネットワーク経由で攻撃可能だが認証不要・ユーザ操作不要の脆弱性

誰が動くべきか

• Linuxカーネルを直接管理・運用するSRE/SecOpsチーム
• MLインフラチーム（vLLMやTritonなどLLMサーバ管理者）
• Agentフレームワーク開発者（LangChainやAutoGenの基盤OS管理者）
• AI GatewayやLLM Proxyサービスを本番投入している運用チーム
• バイブコーダーを含むAI駆動開発環境のサーバ管理者

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

バージョン確認コマンド

Linux（カーネルバージョン確認）

uname -r

出力例:

6.19.0-arch1-1-custom

判定: 出力のカーネルバージョンが 6.19.1 以上なら安全。6.19.0 以下なら脆弱。

設定確認

本脆弱性は設定依存ではありません。カーネルバージョンが脆弱範囲内であれば影響を受けます。

Nucleiテンプレートでの検出

本脆弱性に関する公開Nucleiテンプレートは現時点で存在しません。バージョン確認で対応してください。

STEP 4: 修正を適用する

パッチ適用

Linux（カーネルアップデート例）

sudo apt update && sudo apt install --only-upgrade linux-image-generic

出力例:

linux-image-generic is already the newest version (6.19.1-1ubuntu1).

判定: バージョンが 6.19.1 以上に更新されれば適用済み

注意: カーネルのアップデートは再起動が必要です。事前にバックアップやステージング環境での動作検証を実施してください。

パッチ即時適用ができない場合の暫定対応

公式アドバイザリには暫定対応は提示されていません。可能ならばネットワークからの影響を受けるホストを分離し、メモリプレッシャーを軽減する運用を検討してください。

STEP 5: 修正されたことを確認する

STEP 3で紹介したカーネルバージョン確認コマンドを再度実行してください。

期待される出力

Linux（カーネルバージョン再確認）

uname -r

出力例:

6.19.1-arch1-1-custom

判定: バージョンが 6.19.1 以上ならOK

追加で確認すべきこと

• ログ監視でkworkerタスクの長時間ブロック（hung task）が再発しないことを確認する
• 関連する監視アラートを週単位で注視し、異常がないか確認する
• アップデート後も問題が解決しない場合はベンダー公式チャネルで相談してください

補足: 悪用観測状況

本脆弱性はCISA KEV（Known Exploited Vulnerabilities）には登録されていません。ランサムウェア等による悪用報告も未確認です。GitHubでの公開PoCもなく、現時点では攻撃に使われている証拠はありません。

補足: CVSSメトリクス詳細

• AV（攻撃元）: NETWORK – ネットワーク経由で攻撃可能
• AC（攻撃複雑度）: LOW – 攻撃は比較的簡単
• PR（必要権限）: NONE – 権限なしで実行可能
• UI（ユーザ操作）: NONE – ユーザ操作不要
• S（スコープ）: UNCHANGED – セキュリティ範囲は変更なし
• C（機密性影響）: NONE – 機密性は影響なし
• I（完全性影響）: NONE – 完全性は影響なし
• A（可用性影響）: HIGH – 可用性が大きく影響

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. まずはSTEP 3でカーネルバージョンを確認し、脆弱なバージョンならSTEP 4のアップデートを実施、最後にSTEP 5で修正が反映されたか検証してください。

Q. パッチが適用できない場合、どうすればよいですか？

A. 公式の暫定対応はありませんが、メモリ負荷を下げる運用改善や、影響を受けるサーバのネットワーク隔離を検討してください。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. 具体的な悪用報告はありませんが、長時間ブロックされるkworkerプロセスのログを監視し、異常を早期発見してください。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の深刻度を示しますが、EPSSは実際に悪用される確率を示します。両方見ることで優先度の正確な判断が可能です。

Q. このCVEと類似の脆弱性は他にもありますか？

A. 同様にリソース管理やデッドロック系の問題は過去にも複数あります。具体的なCWE分類はありませんが、リソースリークや処理待ち関連の問題として類似例があります。

参考文献

• NVD – CVE-2026-43469
• GitHub Advisory Database – GHSA-mxr7-7p5m-m8xr
• Kernel Patch Commit 1
• Kernel Patch Commit 2
• Ubuntu Security CVE-2026-43469
• Red Hat CVE-2026-43469

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• High脆弱性 に関するCVE・脆弱性記事一覧
• inference-server に関するCVE・脆弱性記事一覧
• Linux に関するCVE・脆弱性記事一覧