JVNDB-2026-010274

Linux FoundationのInspektor Gadgetにおける複数の脆弱性

Inspektor Gadgetは、eBPFを使用してKubernetesクラスターおよびLinuxホスト上でデータ収集とシステム検査を行うためのツールおよびフレームワークのセットです。0.50.1以前のバージョンでは、ガジェットのリングバッファが偶然または悪意により既に満杯の場合、ガジェットはイベントを静かに破棄していました。include/gadget/buffer.hファイルには、eBPFプログラムからユーザースペースにデータを転送するためにガジェットが使用できるBuffer APIの定義が含まれています。最新のLinuxカーネル（= 5.8）を実行しているホストでは、この転送メカニズムはリングバッファに基づいています。ガジェットのリングバッファのサイズは256KBにハードコーディングされています。gadget_reserve_bufが空き容量不足で失敗すると、ガジェットは警告を出すことなく静かにクリーンアップします。リングバッファを使用した場合、eBPFオペレーターが報告するロストカウント（最新の選択肢）はゼロにハードコーディングされています。この脆弱性は、悪意のあるイベントソース（例：侵害されたコンテナ）によってサービス拒否（DoS）を引き起こし、他のコンテナ（または同じコンテナ）からのイベントをシステムが破棄するよう強制するために悪用される可能性があります。この脆弱性はバージョン0.50.1で修正されました。

Linux Foundation

• Inspektor Gadget 0.50.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Tracing Denial of Service via Event Flooding  Advisory  inspektor-gadget/inspektor-gadget  GitHub

1. セキュリティ関連情報の省略(CWE-223) [その他]
2. 制限またはスロットリング無しのリソースの割り当て(CWE-770) [その他]

1. CVE-2026-31890

1. National Vulnerability Database (NVD) : CVE-2026-31890

• [2026年04月08日]
    掲載