![Amimoto-dark-ogp.png]](https://knowledge.amimoto-ami.com/hs-fs/hubfs/Amimoto-dark-ogp.png?height=40&name=Amimoto-dark-ogp.png){kind=small}
CVE-2026-31431 (Copy Fail) ヘの暫定対応のご案内
AMIMOTO AMI をご利用方向けのCVE-2026-31431 (Copy Fail) ヘの暫定対応
一時的な緩和策 (カーネルパッチ配信までの暫定対応)
CVE-2026-31431 への根本対策は Linux カーネルのアップデートですが、本記事執筆時点(2026-05-01)では Amazon Linux 用のセキュリティパッチが未配信です。配信され次第、カーネルアップデートで対応可能となります。
それまでの暫定対応として、脆弱性の起点となる
algif_aead カーネルモジュールをロード不可にする緩和策があります。本ページでは、自社管理サーバーで本緩和策を適用する場合の手順を案内します。
1. 現在のロード状態を確認
lsmod | grep algif_aea
2. 永続的な無効化設定を作成
sudo tee /etc/modprobe.d/cve-2026-31431.conf > /dev/null <<'EOF'
blacklist algif_aead
install algif_aead /bin/false
EOF
3. 既にロード済みの場合はアンロード
sudo modprobe -r algif_aead 2>/dev/null || true
4. ドライランで設定有効性を確認("install /bin/false" が出力されれば成功)
sudo modprobe --dry-run --verbose algif_aead
5. 動作確認(PoC 不使用・安全な bind チェック)
python3 -c "
import socket, sys
try:
s = socket.socket(socket.AF_ALG, socket.SOCK_SEQPACKET, 0)
s.bind(('aead', 'authencesn(hmac(sha256),cbc(aes))'))
print('VULNERABLE - mitigation not effective')
sys.exit(1)
except OSError as e:
print('Not vulnerable:', e)
sys.exit(0)
"
手順 5 で「
Not vulnerable: ...」と表示されれば緩和策が有効です。ロールバック(カーネルパッチ適用後など本緩和策を解除する場合)
sudo rm /etc/modprobe.d/cve-2026-31431.conf