本記事は セキュリティ速報シリーズ第34回 です。
2026年5月、XServerよりXServer VPSユーザーに向けて重要なセキュリティアラートが配信されました。今回は、その内容と実際の対応手順をまとめます。
どんな脆弱性?
今回報告されたのは以下の2件です。
- CVE-2026-43284
- CVE-2026-43500
いずれもLinuxカーネルに存在する脆弱性で、ローカルの非特権ユーザーがroot権限を取得できてしまう(権限昇格)可能性があります。
サーバーに何らかの形で第三者が侵入していた場合、この脆弱性を悪用してサーバー全体を乗っ取られるリスクがあります。放置は厳禁です。
影響を受ける環境
修正パッケージが適用されていないLinuxカーネルを使用している環境すべてが対象です。XServer VPSでUbuntuやDebianを使っている場合は対応が必要です。
対応手順(Ubuntu 22.04の場合)
1. SSHでサーバーに接続する
bash
ssh -i /path/to/your-key.pem root@(サーバーのIPアドレス)SSH鍵認証を使っている場合は鍵ファイルを指定してください。
2. パッケージを更新する
bash
apt update && apt upgrade -y途中でカーネルアップグレードの確認ダイアログが出た場合は「了解」を選択して進めてください。サービスの再起動リストが表示される場合もありますが、そのまま「了解」でOKです。
3. 再起動する
カーネルの更新を反映させるために再起動が必要です。
bash
reboot4. カーネルバージョンを確認する
再起動後にSSHで再接続し、以下のコマンドで更新されていることを確認します。
bash
uname -r5.15.0-177-generic 以降のバージョンが表示されていればOKです。
5. アップデートが0件になっているか確認する
bash
apt list --upgradable何も表示されなければ対応完了です。
DifyなどDockerアプリを動かしている場合
再起動後、Dockerコンテナが自動的に復旧しているか確認しましょう。
bash
docker psコンテナ一覧が表示され、STATUSが Up になっていれば問題ありません。
まとめ
今回の対応はコマンド3行で完了します。難しい作業ではありませんが、対応しないままにしておくとサーバーが乗っ取られるリスクがあるため、早めの対応をおすすめします。
XServer VPSからのセキュリティメールは、今後も届いたらすぐに確認する習慣をつけておきましょう。
【2026年5月14日 追記】CVE-2026-46300 追加対応
2026年5月13日、XServerより新たなLinuxカーネル脆弱性(CVE-2026-46300)のアラートが配信されました。内容は前回同様、ローカルの非特権ユーザーによる権限昇格の可能性があるものです。
同様の手順でapt update && apt upgrade -yを実行したところ、今回はカーネルが既に最新の状態でした(Running kernel seems to be up-to-date.)。Dockerプラグインのみ更新され、再起動は不要でした。
XServer VPSをご利用の方は同様の手順で対応いただければ問題ありません。
参考:Ubuntu セキュリティ情報 https://ubuntu.com/security/CVE-2026-46300
参考:Ubuntu セキュリティ情報
※本記事は、当社が2026年5月に社内およびクライアント様へご案内したメール内容を基に、Web読者の皆さまにも有益な情報となるよう加筆・編集のうえ公開しています。
出典・参考
Weekly セキュリティ
セキュリティニュース一覧
関連ページ
