TL;DR
Proxmox VEでLXCコンテナ(CT)を外部ユーザーや非信頼ユーザーに使わせている場合、CVE-2026-31431(copy.fail)の対策状況を確認してください。
CTはVMと違い、ProxmoxホストのLinuxカーネルを共有します。
未修正kernel上でCT内のユーザーが任意コードを実行できる場合、ホスト側root権限へ影響する可能性があります。
対応は以下です。
- Proxmox kernelを修正済みバージョンへ更新 (要再起動)
-
pve-container 6.1.5以降へ更新 - CT内から
AF_ALG socketが作れないことを確認
何が危ないのか
VMはゲストOSごとに別カーネルを使います。
一方、LXCコンテナ(CT)はProxmoxホストのカーネルを共有します。
そのため、CT内でカーネル脆弱性を突かれると、ネットワーク分離やテナント分離を迂回して、Proxmoxホスト側へ影響する可能性があります。
これは、複数テナントにCT作成権限を渡している環境では特に危険です。
CT内のユーザー
→ カーネル脆弱性を悪用
→ Proxmoxホストrootへ影響
→ 全VM/CT/ストレージ/設定に影響
危ない構成
以下に当てはまる場合は確認した方がよいです。
- CTを使っている
- 外部ユーザーや非信頼ユーザーにCT作成・起動権限を与えている
- Proxmox kernelが未更新
-
pve-containerが6.1.5未満
まず確認する
ホスト側
uname -a
pveversion -v | grep pve-container
6.17系の場合は 6.17.13-6-pve 以降であることを確認します。
pve-container は 6.1.5 以降であることを確認します。
CT内
# Alpine の場合
apk add --no-cache python3
# Debian/Ubuntu の場合
apt install -y python3
# RHEL/AlmaLinux/Rocky の場合
dnf install -y python3
python3 - <<'PY'
import socket
try:
s = socket.socket(socket.AF_ALG, socket.SOCK_SEQPACKET, 0)
print("AF_ALG socket: OK")
s.close()
except Exception as e:
print(type(e).__name__ + ":", e)
PY
AF_ALG socket: OK が出る場合、CT内から問題の入口に到達できます。
未修正kernelと組み合わさる場合は危険なので、更新してください。
修正する
Proxmoxホストでカーネルなどをアップデートしてください。
apt-get update
apt-get dist-upgrade
reboot
再度CT内で確認し、以下のように OSError または PermissionError 系になれば、CT内から AF_ALG socket を作れない状態です。
OSError: [Errno 97] Address family not supported by protocol
MSL Setup利用者への注意:ネットワーク分離より先に確認すべきこと
これは、ネットワーク分離の良し悪し以前の問題です。
ネットワーク分離は、テナント間の通信経路を制御するために重要です。
しかし、Proxmoxホストのroot権限に影響が及ぶ場合、そのホスト上のVM、CT、仮想ディスク、ネットワーク設定、バックアップ設定、管理権限のすべてに影響が及ぶ可能性があります。
つまり、CTを利用者に使わせる場合は、ネットワーク分離より先に、CTが共有しているホストカーネルという信頼境界を確認する必要があります。
外部ユーザーや非信頼ユーザーにCTを使わせる場合は、CVE-2026-31431のような共有カーネルに関わる脆弱性の影響を確認し、必要に応じてProxmoxホストのkernelおよびpve-containerを更新してから運用することをおすすめします。
参考
- 【2026年版】Proxmoxを最強の『開発プラットフォーム』へ変貌させる全手順
- Proxmox Forum: Proxmox VE Security Advisories
- Theori: Copy Fail: 732 Bytes to Root on Every Major Linux Distribution
- NVD: CVE-2026-31431 Detail
- Bugcrowd: What we know about Copy Fail (CVE-2026-31431)