메인 콘텐츠로 건너뛰기

Amazon Linux 커널 내 '더티 프래그' 및 기타 문제

공지 ID: 2026-027-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 5월 7일 오후 7시 45분(PDT)
수정일: 2026년 5월 13일 오후 1시 30분(PDT)
 

⚠️이 문제는 현재 진행 중입니다. 정보가 변경될 수 있습니다. 최신 패치 정보는 보안 공지(ID: 2026-030-AWS)를 참조하세요.


설명:

Amazon은 원래 문제(CVE-2026-31431)와 관련하여 Linux 커널 내 특정 문제(CVE-2026-43284)에 대해 인지하고 있습니다. 일반적으로 '더티 프래그'라고 하는 이 문제는 xfrm_user/esp4/esp6을 포함하여 로드 가능한 여러 모듈에 존재합니다. 권한 없는 사용자가 직접 또는 CAP_NET_ADMIN을 통해 소켓을 생성하도록 허용하거나 권한 없는 사용자 네임스페이스(user+net)의 생성을 허용하는 시스템에서 액터가 커널 메모리에 대한 액세스 권한을 얻어 권한을 에스컬레이션할 수 있습니다.

영향을 받는 서비스에 필요한 고객 조치

Amazon Linux: Amazon Linux 커널 4.14, 5.4, 5.10, 5.15, 6.1, 6.12, 6.18이 영향을 받습니다. AWS는 이 문제를 해결하는 Amazon Linux에 대한 업데이트를 출시했으며 고객은 최신 커널 업데이트를 적용해야 합니다. 이 문제와 관련된 업데이트된 정보는 Amazon Linux Security Center(ALAS)를 참조하세요.

고객 환경에 사용 가능한 커널 업데이트를 적용하는 것이 좋습니다. 커널 업데이트를 적용하지 않고 알려진 벡터를 완화하려면 다음과 같이 조처해야 합니다.

  1. 다음 명령을 사용하여 영향을 받는 모든 모듈에 대해 해당 모듈들이 호스트에 로드되었는지 확인합니다.

        lsmod | grep -E "esp4|esp6|rxrpc"

    영향을 받는 모듈 중 하나가 출력에 나열되면 현재 로드되어 있는 것입니다. 예상치 못한 사용에 해당하는 경우 다음 명령 후에 재부팅합니다. 알려진 사용에 해당하는 경우 다른 완화 옵션을 평가하세요.

  2. 다음 명령을 사용하여 영향을 받는 모듈의 향후 로드를 개별적으로 비활성화합니다.

        echo 'install esp4 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
        echo 'install esp6 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
        echo 'install rxrpc /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf

    또는 영향을 받은 모듈이 현재 로드되지 않은 경우 다음 명령을 사용하여 모든 추가 커널 모듈의 로드를 비활성화합니다.

        sysctl -w kernel.modules_disabled=1

    참고로 이 변경 사항은 다음에 재부팅할 때까지 영구적으로 적용됩니다.

    다음 명령은 네임스페이스에 특정한 벡터를 완화하기 위해 해당 생성 옵션을 비활성화합니다.

        sysctl -w user.max_user_namespaces=0

위에서 언급한 모듈을 사용하는 고객의 경우 환경에서 비정상적인 setuid 실행이 있는지 모니터링하세요. 'Copyfail v1'에 대한 자세한 내용은 보안 공지를 참조하세요.

업데이트가 제공되는 대로 보안 공지(ID: 2026-030-AWS)에 추가 정보를 게시할 예정입니다.

관련 보안 공지 - copy.fail 변형:

  1. 보안 공지 2026-029-AWS - CVE-2026-43284("Fragnesia"라고도 함)
  2. 보안 공지 2026-026-AWS - CVE-2026-31431(copy.fail이라고도 함)

참고 사항:


보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.