Nftables on 思いつきそうで思いつかなくていたときに

たった1文字がrootへの裏口に：nf_tables特権昇格、npmワーム「Miasma」、Debian 12 LTS移行、OpenSharing始動（2026年6月11日）

Thu, 11 Jun 2026 06:00:00 +0900

こんにちは！コンテンツ制作部のライターです。

梅雨入りして、なんだか足元のジメジメが気になる季節になりましたね。じつは今日のトレンド、まさにその「足元」がテーマなんです。

先日、知り合いのインフラ担当の方が「うちのコンテナ基盤、ホストのカーネルは共有だけど、名前空間でちゃんと分離されてるから安心」と話していました。気持ちはとてもよくわかります。私たちは普段、土台（カーネルやベースイメージ、依存パッケージ）が「当たり前に安全であること」を前提に、その上で仕事をしていますよね。でも今日お届けするニュースは、その当たり前の土台に たった1文字 のヒビが入るだけで、root権限への裏口がぽっかり開いてしまう——そんなヒヤリとする話から始まります。

というわけで本日のトレンドレポートは、 Linuxカーネル nf_tables の1文字バグ（CVE-2026-23111） を筆頭に、わずか2時間で猛威を振るった npmワーム「Miasma / Hades」 、本日節目を迎えた Debian 12 “Bookworm” のLTS移行 、Linux Foundationが立ち上げた OpenSharing Project 、そして温故知新な AIによるレガシーGPUドライバの延命 まで、たっぷり5本立てでお届けします。

まずは、本日のYouTube動画をこちらからご覧ください！

注目のOSSトレンド Top 5

1. たった1文字のバグがrootへの裏口に──nf_tables の特権昇格・コンテナエスケープ（CVE-2026-23111）

トップバッターは、いまセキュリティリサーチャーとカーネルコミュニティが最も警戒しているお話です。Linuxカーネルのパケットフィルタリングを担う nf_tables（nftables） に、Use-After-Free（解放後メモリ使用）の脆弱性 CVE-2026-23111 が見つかりました。CVSS v3スコアは 7.8（High） 。数字だけ見ると「最高ランクではない」と感じるかもしれませんが、コンテナを多用する現代のクラウド基盤においては、スコア以上に深刻なインパクトを持っています。

なにより衝撃的なのが、その原因です。なんと カーネルコード内のたった1文字、論理チェックの反転（誤った否定演算子） という、ごくごく些細な人為ミスなんです。トランザクションが失敗してロールバック（アボート）する際、本来カーネルは要素を元の状態に戻そうとします。ところがこの1文字の誤りで復元ロジックが壊れ、 chain->use という参照カウンタが正しく増えず、ひたすら減り続けるという危うい状態に陥ってしまいます。

その結果、まだチェインを参照している要素が残っているのに参照カウンタがゼロに達してしまい、カーネルがそのメモリ領域を早すぎるタイミングで解放してしまう。攻撃者はその「解放済みの隙間」に別のデータを滑り込ませてカーネルメモリを破壊し、最終的には制御を奪ってroot権限を握る——という流れです。

そして本当に怖いのが、 非特権ユーザー名前空間（unprivileged user namespaces） と組み合わさったとき。通常、nf_tablesの操作には高い権限が必要ですが、非特権ユーザーでも自前のユーザー名前空間とネットワーク名前空間を unshare で作ってしまえば、脆弱なカーネルコードパスに手が届いてしまうんです。2026年6月8日にはExodus Intelligenceから、それに先立つ4月にはFuzzingLabsから完全なエクスプロイトの技術詳細が公開されました。そこでは Debian Bookworm / Trixie、Ubuntu 22.04 / 24.04 LTS といった主要環境で、非特権コンテナの内側からホストのroot権限を奪い、コンテナを脱出する手順までしっかり示されています。

項目	内容
影響コンポーネント	Linux Kernel（nf_tables サブシステム）
脆弱性識別子	CVE-2026-23111
CVSS v3 スコア	7.8（High）
攻撃の前提条件	非特権ユーザーへのローカルアクセス、非特権ユーザー名前空間の有効化
最終的な影響	ローカル特権昇格（LPE）、カーネルコード実行、コンテナエスケープ
一次パッチ適用日	2026年2月5日（アップストリームカーネル）

アップストリームでは2026年2月5日に「余分な否定演算子を削除する」1文字のパッチがすでにマージ済みです。ただ、各ディストリビューションへのバックポートや本番システムへの適用にはどうしてもタイムラグがあり、いまだパッチ未適用のまま動いているシステムは少なくないと見られます。

対策としては、 ホストカーネルのアップデートと再起動 が最優先。どうしてもすぐに再起動できない場合は、 kernel.unprivileged_userns_clone=0 のSysctlで非特権ユーザーによる名前空間作成を制限したり、AppArmorやSeccompのプロファイルを見直してネットワーク名前空間の操作をブロックしたり、といった一時的な緩和策が強く推奨されます。たった1文字のタイポが現代のクラウド基盤全体を危険にさらす——この事実は、コードレビューだけに頼ることの限界と、 Rust for Linux のように言語仕様レベルでメモリ安全性を担保するアプローチの重要性を、改めて私たちに突きつけていますね。

2. わずか2時間で57パッケージ汚染──npmワーム「Miasma / Hades」と新隠蔽手法「Phantom Gyp」

続いては、JavaScript / Node.jsエコシステムを震撼させた、自己増殖型のサプライチェーン攻撃です。2026年6月3日から観測された 「Miasma」ワーム の最新亜種（脅威インテリジェンスでは 「Hades」キャンペーン とも呼ばれます）は、 わずか2時間足らずで57以上のnpmパッケージ、286以上のバージョン を汚染しました。標的には、月間40万ダウンロード超の @vapi-ai/server-sdk や、Red Hatが管理する @redhat-cloud-services 名前空間、さらには6月5日にはMicrosoft Azureの durabletask リポジトリまで含まれ、エンタープライズ開発環境に甚大な被害が出ています。

この攻撃の最大の特徴であり、業界に衝撃を与えたのが 「Phantom Gyp（ファントム・ジップ）」 という新しい隠蔽手法です。従来の悪意あるnpmパッケージは、 package.json の preinstall / postinstall といったライフサイクルスクリプトでマルウェアを起動するのが定番でした。ところが今回のワームは、 package.json に インストールスクリプトを一切書きません 。そのため、スクリプトを監視するタイプの静的解析ツールは、これを「正常なパッケージ」と誤認してしまうんです。

ではどこに罠を仕掛けるのか。攻撃者はパッケージのルートに、わずか 157バイトの binding.gyp という構成ファイルを置きます。npmはインストール中にこのファイルを見つけると「ネイティブC/C++アドオンのビルドが必要だ」と判断し、裏で node-gyp rebuild を起動します。攻撃者はこの仕様を逆手に取り、GYPのコマンド置換構文 <!(...) を使ってビルド定義の中にOSコマンドを埋め込みました。具体的には "sources": ["<!(node index.js > /dev/null 2>&1 && echo stub.c)"] のように書くことで、表向きはダミーのCソースファイル名を返しつつ、裏で肥大化した悪意ある index.js をこっそり実行させる、という巧妙さです。

攻撃フェーズ	実行内容と技術的手法
初期侵入	侵害したメンテナのトークンで公式パッケージ（`@vapi-ai/server-sdk` 等）に不正バージョンを公開
実行トリガー	`package.json` を使わず、`binding.gyp` のコマンド置換構文 `<!(...)` を悪用（Phantom Gyp手法）
ペイロード展開	`node index.js` を裏で起動し、Bunランタイムを動的ダウンロードして実行
情報窃取	`/proc/<pid>/mem` を走査し、GitHub Runnerプロセスから平文のシークレットやクラウド認証情報を窃取
自己増殖	盗んだ `NPM_TOKEN` で被害者の他リポジトリへマルウェアを自動公開し、ワーム的に拡散

起動したペイロードは、監視をかいくぐるためにGitHub Releasesから軽量な Bunランタイム をダウンロードし、ランダムな一時ファイル名で二次ペイロードを展開。そのうえでGitHub Actionsの Runner.Worker プロセスのメモリ（ /proc/<pid>/mem ）を直接スクレイピングして、マスクされる前の生のシークレットを抜き取ります。AWS・GCP・AzureのクレデンシャルやKubernetesのコンフィグ、開発者のSSH秘密鍵、npmトークンまで根こそぎ。そして盗んだnpmトークンで、その開発者が権限を持つ別パッケージへ自動的に改ざんバージョンを公開し、 ワームのように増殖 していくのです。

AIインフラやSDKが狙われている背景には、AI開発の現場で高権限のAPIキーやクラウドアクセス権が環境変数として飛び交いがち、という事情があります。攻撃者にとっては宝の山なんですね。対策としては、静的解析だけに頼るサプライチェーン保護からの脱却が急務です。インストール時のネットワーク送信（エグレス）を厳格にブロックする、 Harden-Runner のような ランタイム保護 で異常なメモリ読み取りを検知する、といった「ゼロトラスト・パッケージインストール」への発想転換が求められています。

3. 本日が節目──Debian 12 “Bookworm” 標準サポート終了とLTSへの移行

3つ目は、世界中のサーバー・コンテナイメージ・組み込み機器の土台になっている Debian の、大切なライフサイクルの節目のお話です。2023年6月10日にリリースされた Debian 12（コードネーム：Bookworm） は、ちょうど3年が経った昨日 2026年6月10日 をもって、Debianセキュリティチームによる標準サポートを終え、運用保守が本日 2026年6月11日 から Debian LTS（Long Term Support）チーム へと引き継がれます。

この移行は、単なる担当チームの交代にとどまりません。LTSによるサポートはここから約2年間、 2028年6月30日まで 提供されます。ただし標準サポート期間中はメインリポジトリのほぼ全パッケージ・全アーキテクチャが対象だったのに対し、LTSフェーズではコミュニティのリソース都合で サポート対象パッケージが絞り込まれる 傾向があります。アーキテクチャも、過去の傾向から amd64 / i386 / arm64 / armhf といった利用者の多い主要プラットフォームに限定されるのが一般的です。

さらに見逃せないのが、その先のロードマップ。2028年6月30日にDebian公式のLTSが終わったあとも、商用サポートを手がける Freexian社 主導の Extended LTS（ELTS） にシームレスに移行し、 最長2033年6月30日まで セキュリティパッチが提供される予定です。これは「一度入れたら長く動かし続けたい」エンタープライズや、容易にOSを入れ替えられない産業用IoT・組み込み機器の要請に、OSSコミュニティと商用スポンサーがしっかり手を組んで応えている、成熟したエコシステムの姿だと言えますね。

リリース	標準サポート終了	LTSフェーズ	ELTSフェーズ（Freexian）
Debian 11（Bullseye）	2024年8月14日終了	2024年8月15日〜 2026年8月31日	2026年9月1日以降（予定）
Debian 12（Bookworm）	2026年6月10日終了	2026年6月11日〜 2028年6月30日	2028年7月1日〜 2033年6月30日
Debian 13（Trixie）	未定	2028年8月9日〜 2030年6月30日	未定

Debian 12を基盤やベースイメージに使っている方は、いまが現状把握と戦略判断のタイミングです。やっておきたいのは大きく3つ。まず、稼働中のDebian 12サーバー群を洗い出し、2028年のLTS終了までに次期安定版 Debian 13 “Trixie” への移行検証・マイグレーション計画を立て始めること。次に、自分たちが使っている固有パッケージやマイナーなライブラリがLTSで継続保守されるか確認すること（ debian-security-support のチェッカーツールでEOLコンポーネントを定期監査する自動化がおすすめです）。そして「5年以上OSを入れ替えられない」制約のある環境を設計しているアーキテクトの方は、 ELTSの利用 を視野に入れた予算確保を早めに検討しておくこと。技術的負債を安全にコントロールする鍵になりますよ。

4. データとAI資産をまたいで共有──Linux Foundation「OpenSharing Project」始動

4つ目は、ぐっと前向きで未来志向なニュースです。エンタープライズへのAI導入が爆発的に進むなか、長年の壁だった「データのサイロ化」と「プラットフォームの分断」を打ち破るプロジェクトが動き出しました。 Linux Foundation は2026年6月10日、AI資産とデータの共有プロトコルを標準化するオープンプロトコル 「OpenSharing Project」 の立ち上げを正式発表しました。

このプロジェクトの核になっているのは、データウェアハウス／AI基盤の雄 Databricks社 からLinux Foundationへ寄贈された技術です。系譜としては、すでに数千社に採用されているオープンソースのデータ共有プロトコル 「Delta Sharing」 を大きく進化させたもの。これまでのDelta Sharingが主に構造化データ（テーブルなど）の組織間共有に焦点を当てていたのに対し、OpenSharingは急成長する 「エージェンティックAI（Agentic AI）時代」 の要請に合わせて再設計されています。

具体的には、 非構造化データ（テキストコーパス・画像・動画） 、 学習済みAIモデル（LLMの重みなど） 、そして自律型エージェントの能力を定義する 「Agent Skills」 までを、まったく異なるプラットフォーム間でセキュアかつ統一的に交換できるフレームワークを提供します。さらに技術的に嬉しいのが Apache Iceberg IRCクライアント のサポート追加。これにより、オンプレに置いた巨大データセットを、パブリッククラウドの分析基盤へコピー・エクスポートすることなく 「ゼロコピー」のまま直接連携 できるようになります。

観点	従来のP2P API連携	OpenSharing プロトコル
データ連携の方式	物理コピー・ETL転送が必要	ストレージ層を抽象化し、ゼロコピーでアクセス
共有可能なアセット	主に構造化データ、限定的なファイル	構造化・非構造化データ、AIモデル、Agent Skills に包括対応
プラットフォーム依存性	ベンダー独自仕様、強いロックイン	ベンダーニュートラルなOSS、マルチクラウド対応
主な用途	DB間同期、バッチ処理	Apache Iceberg連携、自律型エージェント間のリアルタイム協調

今後のAIアーキテクチャは、単一の巨大LLMにプロンプトを投げるシンプルな形から、専門化した複数の自律エージェントが協調する オーケストレーションモデル へと移っていきます。OpenSharingでエージェントの「スキル」を標準プロトコルとして受け渡しできるようになれば、マルチベンダー環境での自律型AIエコシステム構築が一気に容易になります。そして何より、特定クラウドのプロプライエタリなマーケットプレイスに縛られる ベンダーロックイン から解放され、AWS・GCP・Azureとオンプレをまたいだ堅牢なデータ基盤を、オープンソースベースで設計できるようになる。データ転送コストを抑えつつガバナンスを効かせたい——そんなデータエンジニアにとって、OpenSharingは今後数年のインフラ設計のデファクトになる可能性を秘めています。

5. 18年前のGPUをAIで延命──Copilotが支えるレガシードライバ「R600g」のリファクタリング

最後は、技術の温かみを感じる「温故知新」なお話で締めくくりましょう。最先端のAIコーディングアシスタントは、新しいものを作るだけでなく、 忘れられかけた過去のレガシーを救い延命させる ツールとしても機能し始めています。Linuxデスクトップのグラフィックスを支えるオープンソースドライバスタック Mesa の次期バージョン26.2のリポジトリに、AMDの非常に古いGPU向けドライバ 「R600 Gallium3D（R600g）」 に対する、 59件もの大規模リファクタリングコミット が一挙にマージされました。

このR600gドライバが面倒を見ているのは、2007年登場のRadeon HD 2000シリーズから2010年代初頭のHD 6000シリーズまで。いまの基準ではすっかり ヴィンテージ な世代のハードウェアです。AMDによる公式サポートはとうに終わっており、この膨大で複雑なコードベースを保守しているのは、Mesaコミュニティのごく少数の有志（今回コミットを行ったGert Wollny氏など）だけ、という過酷な状況が続いていました。

コミュニティの注目を集めたのは、Wollny氏が sfn（シェーダコンパイラ）という非常に難解なC言語コードを整理するにあたり、 「GitHub Copilot（自動モード）」を全面的に活用した ことを、マージリクエストや個々のコミットメッセージで 明確に宣言した 点です。これはAIを定型文生成や新機能追加に使ったのではなく、人間が保守を諦めかけていた数十年前の複雑なレガシーコードの文脈を読み解き、安全に構造を整理する 「強力なペアプログラマ」 として使った、とても実践的な事例なんです。

GPUシリーズ	発売年	アーキテクチャ	Mesaにおけるドライバ保守の現状
Radeon HD 2000 〜 6000	2007年〜	TeraScale（R600）	R600g ：メーカーサポート終了。OSS有志＋AI支援で保守
Radeon HD 7000 以降	2011年〜	GCN	RadeonSI ：OSSコミュニティで安定稼働
Radeon RX 5000 以降	2019年〜	RDNA	RADV / RadeonSI ：AMD・Valve等による強力な公式／OSS並行サポート

この出来事は、OSSが長年抱えてきた 「ソフトウェアの腐敗（Software Rot）」 と 「メンテナ不足」 という慢性的な課題に、ひとつの希望を示しています。商用価値を失ったレガシーハードでも、AI支援で保守・学習コストを下げられれば、Linuxで使える期間をさらに数年単位で延ばせる。これは古いPCをテスト用やレトロゲーミングに再利用するコミュニティを助け、深刻化する 電子廃棄物（e-waste）の削減 にもつながる、とても良い動きです。

そしてもうひとつ大切なのが、 「AI生成コードの受容と透明性」 へのポジティブな影響です。LKMLをはじめOSSの現場では、AI生成コードの著作権問題やハルシネーションによるバグ混入への警戒感が根強く、利用ルールの議論が続いています。そんななかWollny氏が、Copilotの利用をコミット履歴に正確にタグ付けして透明性を確保し、 人間による十分なレビューとテストを経てマージ したプロセスは、今後のOSS開発における「AIとの適切な協働の作法」のお手本になりそうです。エンジニアの役割は、誰も触りたがらないレガシーコードの書き換えをAIに委ね、人間はアーキテクチャの妥当性評価やエッジケースのテストに注力する——そんな、より高度なメンテナの姿へとシフトしていくのかもしれませんね。

今日の豆知識（今日は何の日 3選）

難解なコードのデバッグやサーバー運用で疲れた頭の息抜きに、今日（6月11日）が日本でどんな記念日なのか、エンジニア視点も少し交えて3つご紹介しますね。

傘の日 1989（平成元）年に日本洋傘振興協議会（JUPA）が制定した記念日です。暦の上で「入梅（梅雨入り）」にあたる時期であることが由来で、傘の販売促進や雨の日の過ごし方を提案する日とされています。インフラの世界で「傘」といえば、突発的なDDoSトラフィックを逸らすスクラビングセンターや、障害に備えるフェイルオーバーのスタンバイ環境を思い浮かべます。急な雨（障害やアクセススパイク）が降ってから慌てて傘を探すのではなく、晴れている平時のうちにしっかり傘（BCP対策やキャパシティプランニング）を準備して、定期的に開閉テスト（障害復旧訓練）をしておく。それが頼れるエンジニアの条件ですね。
雨漏り点検の日 こちらも梅雨にちなんだ記念日。本格的な梅雨や台風シーズンの前に屋根や外壁の雨漏りを点検し、被害を未然に防ごうという目的で全国雨漏検査協会が制定しました。ITに置き換えるなら、さしずめ「メモリリーク点検の日」や「脆弱性の穴点検の日」でしょうか。今日トップで取り上げた nf_tables の脆弱性（CVE-2026-23111）のように、 たった1文字の論理バグという小さなヒビ から、特権昇格やコンテナエスケープという甚大な「雨漏り」が起きてシステム全体が水浸しになる——それがソフトウェアの怖いところです。脆弱性スキャナを回したり、依存パッケージのアップデート漏れがないか、今日はぜひシステムの「雨漏り点検」をしてみてくださいね。
トヨタ自動車創業者・豊田喜一郎の誕生日（1894年） 1894（明治27）年の6月11日は、トヨタ自動車の創業者・豊田喜一郎氏が誕生した日です。豊田自動織機製作所の創業者・豊田佐吉氏の長男として生まれ、米国フォード工場で流れ作業による大量生産を見学したことをきっかけに、日本の乗用車製造の礎を築きました。彼が情熱を注いだ生産プロセス、そして後に体系化された 「ジャスト・イン・タイム」や「カンバン方式」 といった無駄を省く思想は、海を越えて現代のソフトウェア開発にも輸入されています。私たちが当たり前に実践している アジャイル開発・DevOps・CI/CD の根底には、彼らが築いたモノづくりの哲学が息づいているんです。日本の製造業のレジェンドの誕生日が、現代のソフトウェアエンジニアリングの歴史にも深くつながっている——なんだか感慨深いですね。

まとめ

今日は、2026年6月10日から11日にかけての、とても濃密で変化の激しいトレンドをお届けしました。

カーネルの たった1文字 のバグが引き起こすコンテナ環境の崩壊（nf_tables CVE-2026-23111）、ビルドシステムの盲点を突いて静的解析をすり抜ける新次元のサプライチェーン攻撃（Phantom Gyp）、 Debian 12 のLTS移行というインフラライフサイクルの節目、そしてLinux Foundationが主導するエージェンティックAI時代のデータ共有標準化（OpenSharing）。OSの深層からAIの最前線まで、パラダイムが急速に動いていることが伝わってきますね。その一方で、最新のAI（Copilot）を駆使して打ち捨てられかけた 古いGPUドライバを力強く延命 させるという、オープンソースならではの温かいトピックもありました。

インフラの安全確保と次世代技術のキャッチアップを両立させるのは、決して簡単な道のりではありません。でも、 日々の小さなログの点検 と コミュニティの動向を追い続ける学習 こそが、どんな攻撃や技術革新にも耐える堅牢なシステムを作る第一歩です。梅雨入りのこの時期、あなたの足元の土台、ぜひ一度しっかり点検してみてくださいね。このレポートが、明日のシステム運用や中長期のアーキテクチャ設計の、確かな指針になれば嬉しいです。

それでは、引き続き運用も開発も楽しんでいきましょう！

引用文献

One-Character Linux Kernel Flaw Enables Local Root Access, Exploits Now Public - The Hacker News, 6月 11, 2026にアクセス、 https://thehackernews.com/2026/06/one-character-linux-kernel-flaw-enables.html
CVE-2026-23111: Public Linux Kernel nf_tables Exploit – Patch Now - Infosec.ge, 6月 11, 2026にアクセス、 https://infosec.ge/blog/cve-2026-23111-linux-kernel-nftables-container-escape/
Linux Kernel Bug Caused by Single Character Opens Path to Root Access - Security Boulevard, 6月 11, 2026にアクセス、 https://securityboulevard.com/2026/06/linux-kernel-bug-caused-by-single-character-opens-path-to-root-access/
CVE-2026-23111, the nf_tables Bug Behind a One-Character Root Privesc - Penligent, 6月 11, 2026にアクセス、 https://www.penligent.ai/hackinglabs/cve-2026-23111/
Off By !: Exploiting a Use-after-Free in the Linux Kernel - Exodus Intelligence, 6月 11, 2026にアクセス、 https://blog.exodusintel.com/2026/06/08/off-by-exploiting-a-use-after-free-in-the-linux-kernel/
CVE-2026-23111: Linux nf_tables Flaw Enables Root Exploits - Security Affairs, 6月 11, 2026にアクセス、 https://securityaffairs.com/193352/hacking/cve-2026-23111-linux-nf_tables-flaw-enables-root-exploits.html
Miasma npm Supply Chain Attack: Self-Spreading Worm via binding.gyp - StepSecurity, 6月 11, 2026にアクセス、 https://www.stepsecurity.io/blog/binding-gyp-npm-supply-chain-attack-spreads-like-worm
Miasma Worm Hits Microsoft Again: Azure Functions Action and 72 Other Repositories Disabled - StepSecurity, 6月 11, 2026にアクセス、 https://www.stepsecurity.io/blog/miasma-worm-hits-microsoft-again-azure-functions-action-and-72-other-repositories-disabled-after-supply-chain-attack-targeting-ai-coding-agents
Preinstall to persistence: Inside the Red Hat npm Miasma credential-stealing campaign - Microsoft Security Blog, 6月 11, 2026にアクセス、 https://www.microsoft.com/en-us/security/blog/2026/06/02/preinstall-persistence-inside-red-hat-npm-miasma-credential-stealing-campaign/
About Debian 12 Bookworm - Freexian, 6月 11, 2026にアクセス、 https://www.freexian.com/lts/extended/docs/debian-12-support/
LTS - Debian Wiki, 6月 11, 2026にアクセス、 https://wiki.debian.org/LTS
Debian 12 to Debian 13 Upgrade Guide (Bookworm to Trixie) - IT-Connect, 6月 11, 2026にアクセス、 https://www.it-connect.tech/how-to-upgrade-debian-12-to-debian-13-trixie/
When will the support time of Debian 12 end? - Reddit, 6月 11, 2026にアクセス、 https://www.reddit.com/r/debian/comments/1j9gqio/when_will_the_support_time_of_debian_12_end/
Linux Foundation Announces OpenSharing Project to Standardize AI Asset and Data Exchange - The Linux Foundation, 6月 11, 2026にアクセス、 https://www.linuxfoundation.org/press/linux-foundation-announces-opensharing-project-to-standardize-ai-asset-and-data-exchange
Linux Foundation Announces OpenSharing Project - PR Newswire, 6月 11, 2026にアクセス、 https://www.prnewswire.com/news-releases/linux-foundation-announces-opensharing-project-to-standardize-ai-asset-and-data-exchange-302796802.html
Databricks Announces OpenSharing, a New Open Standard for Sharing of Data and AI Assets - Databricks, 6月 11, 2026にアクセス、 https://www.databricks.com/company/newsroom/press-releases/databricks-announces-opensharing
CORRECTION — The Linux Foundation - Morningstar/PR Newswire, 6月 11, 2026にアクセス、 https://www.morningstar.com/news/pr-newswire/20260610dc80227/c-o-r-r-e-c-t-i-o-n-the-linux-foundation
Linux Developers Use Copilot to Revive R600 Driver - Let’s Data Science, 6月 11, 2026にアクセス、 https://letsdatascience.com/news/linux-developers-use-copilot-to-revive-r600-driver-026547f6
AI helps keep vintage AMD Radeon Linux driver alive - VideoCardz.com, 6月 11, 2026にアクセス、 https://videocardz.com/newz/ai-helps-keep-vintage-amd-radeon-linux-driver-alive
6月11日は「傘の日」 - YOUTH TIME JAPAN project web, 6月 11, 2026にアクセス、 https://www.ytjp.jp/2019/06/11/kyouhanannohi
6月11日は何の日 - 今日は何の日 - Yahoo!きっず, 6月 11, 2026にアクセス、 https://kids.yahoo.co.jp/today/0611
6月11日は何の日？（記念日、誕生日、出来事）- kinendar（キネンダー）, 6月 11, 2026にアクセス、 https://kinendar.com/anniversary/date/june/11.html
今日は何の日：6月11日 - nippon.com, 6月 11, 2026にアクセス、 https://www.nippon.com/ja/japan-topics/today0611/

セキュリティとAIの激動：rsync 3.4.4緊急リリース、VS Code 2時間遅延、nftables特権昇格、Firefox Vulkan Video、RISC-V Summit Europe（2026年6月9日）

Tue, 09 Jun 2026 06:00:00 +0900

こんにちは！コンテンツ制作部のライターです。

今日もやらかしてしまいました。先週、インクリメンタルバックアップを rsync で走らせていたら、いつも出ないはずの「failed verification – update discarded」というメッセージが大量に出てきて、「ハードディスクが壊れた？」と真っ青になったんです。あちこちチェックしても原因がわからず、結局30分後にようやく「rsync の新しいバージョンにリグレッションがあった」とわかったときの脱力感……。いや、ツールのバージョンアップは自動化しておくものだと思っていましたが、自動化が仇になるとは。「便利なはずの仕組みが足を引っ張る」という体験は毎回こたえますね。

というわけで今日のトレンドレポートは、まさにそのバックアップ騒動の続報である rsync 3.4.4 を筆頭に、 VS Code 1.123 のサプライチェーン防衛策、 Linux カーネル nftables の深刻な特権昇格脆弱性（CVE-2026-23111） 、 Firefox の Vulkan Video Decoding 統合 、そして RISC-V Summit Europe 2026 で語られた「Open Physical AI」まで、盛り沢山でお届けします！

まずは、本日のYouTube動画をこちらからご覧ください！

注目のOSSトレンド Top 5

1. rsync 3.4.4 緊急リリース！　AI支援コードをめぐるバックラッシュとメンテナの反論

ファイル同期の老舗インフラ rsync が久々に大きな騒動に巻き込まれました。2026年5月20日にリリースされた rsync 3.4.3 は、6件の CVE を修正する重要なセキュリティアップデートだったのですが、本番環境に致命的な影響を与えるリグレッションが2件潜んでいたことが判明し、急遽 rsync 3.4.4 が緊急リリースされるという事態になりました。

今回修正の目玉だったのが CVE-2026-29518 です。デーモンモードで use chroot = no が設定されている環境下で発生する、TOCTOU（Time-of-Check to Time-of-Use）のシンボリックリンク競合脆弱性。ローカルの攻撃者が権限昇格や任意ファイルの上書きを行えてしまう危険なものでした。この修正のために、secure_relative_open() 関数の適用範囲をデーモンモードにも拡大するという大規模な改修が加えられた……のですが、これが裏目に出ました。

リグレッションの内容は2つ。 Issue #924 として報告されたのが「Linux カーネル 5.6 未満の環境で openat2() システムコールが存在しないためビルドが完全に失敗する」問題。そして Issue #928 として報告されたのが「SSH 経由で --link-dest を使った差分バックアップが、検証に失敗してアップデートが破棄されてしまう」問題です。冒頭のやらかしはまさにこれです……。

コミュニティがリグレッションの原因を探ってコミット履歴を掘り返したところ、「 Co-Authored-By: Claude 」という署名が大量に含まれていることが発見されました。「AI が生成した雑なコード（AI Slop）がコアインフラに混入してバグを招いた」という激しいバックラッシュが燃え上がったのは言うまでもありません。

これに対して rsync のメンテナであり、Samba の生みの親でもある Andrew Tridgell 氏が詳細な反論を公開しています。氏によれば、Claude を利用したのは「テストスイートのシェルスクリプトから Python への移行」という単純なコーディング作業（Grunt work）だけであり、アーキテクチャの設計は氏自身が厳密に行っていた。さらに Codex や Gemini でクロスチェックもしている。rsync のコアロジックや今回リグレッションを起こした箇所には AI は一切関与していないというのが事実です。

AI の使用自体がコミュニティの感情的な拒絶反応を呼び起こすという、透明性が逆にパラドックスを生む構図はなんとも皮肉ですね。なお、緊急リリースされた 3.4.4 でリグレッションはすべて修正済み。次期メジャー 3.5.0 に向けて rsync-security メーリングリスト も設立され、クローズドな環境でのセキュリティテスト体制が強化される方針です。3.4.3 を使っている方は今すぐ 3.4.4 に更新してください！

rsync 3.4.3 における主要な変更とリグレッション概要	詳細と影響
セキュリティ修正（CVE-2026-29518）	`use chroot = no` 設定時の TOCTOU 脆弱性を修正。`secure_relative_open()` の適用範囲を拡大。
リグレッション 1：ビルド失敗（Issue #924）	カーネル 5.6 未満で `openat2()` が存在しない環境においてコンパイルが停止する不具合。
リグレッション 2：バックアップ破棄（Issue #928）	`--link-dest` を伴う SSH 経由の差分バックアップで検証失敗・アップデートが破棄される問題。
テストスイートの刷新	シェルスクリプトから Python へ移行。この工程で Claude 等の AI が補助的に利用された。

2. VS Code 1.123 の拡張機能「2時間遅延」でサプライチェーン攻撃を封じる

2026年6月3日にリリースされた Visual Studio Code 1.123 で、拡張機能の自動更新に根本的な変更が加わりました。新しいバージョンが公開されてから最低 120分（Cooldown period） は自動インストールを保留するという仕組みです。

背景は深刻なサプライチェーン攻撃の増加です。拡張機能メンテナのアカウントがフィッシングやトークン流出で侵害され、マルウェアを仕込んだアップデートが数百万台の開発者端末に一斉配信されるというキルチェーンが現実になっています。2時間のバッファがあれば、侵害されたメンテナやコミュニティのリサーチャーが異常に気づき、配信を止める「猶予時間」として機能します。VS Code の UI でも、アップデートが保留されている理由と自動更新の実行予定時刻が明記されるため、ユーザー体験への配慮もしっかりされています。

ただし、ユーザーが手動で「Update」ボタンを押した場合は即時更新が可能です。緊急のバグフィックスを適用したい場合でもブロックされません。

一方で話題を呼んでいるのが Trusted Publishers（信頼できるパブリッシャー） の例外規定。「Microsoft」「GitHub」「OpenAI」はホワイトリスト化されており、2時間の遅延が免除されます。「大手組織でもサプライチェーン攻撃は起きうるのだから、全パブリッシャーに等しくルールを適用すべきでは」という声も上がっており、プラットフォーマーとしての利便性追求とセキュリティの哲学的対立が露わになっています。

この「一定時間のインストール保留」アプローチは、今やパッケージマネージャー全体のトレンドになっています。

エコシステム・ツール	導入された遅延機能・パラメータ名	導入バージョン
VS Code	自動アップデートの 2 時間保留（Cooldown period）	v1.123 以降
npm	`min-release-age`	v11.10.0 以降
Bun	`minimumReleaseAge`	1.3 以降
pnpm	`minimumReleaseAge`	10.16 以降
Yarn (Berry)	`npmMinimalAgeGate`	4.10.0 以降

CI/CD パイプラインや自動化スクリプトで「常に最新の拡張機能」を要求している方は、このクールダウンの存在を念頭に置いておく必要があります。セキュリティのために「意図的な遅延」をシステム設計に組み込む時代へのシフト、改めて実感します。

3. Linuxカーネル nftables に深刻な特権昇格脆弱性（CVE-2026-23111）

インフラ管理者の皆さん、急いでカーネルを更新してください。2026年6月8日、 Exodus Intelligence の Oliver Sieber 氏が、Linux カーネルの nftables に存在する深刻な特権昇格脆弱性 CVE-2026-23111 の詳細なエクスプロイト手法を公開しました。ローカルの非特権ユーザーが root 権限を奪取できてしまうというものです。

問題の根本原因は nft_map_catchall_activate() 関数に潜んでいたわずか 1文字の論理エラー です。!（NOT）が誤って付与されていました。

nftables はテーブル・チェーン・ルール・セット・マップといった階層構造でトラフィックを制御するフレームワークです。トランザクションが失敗した際には「アボート処理」が走り、システムの状態を元に戻します。この復元処理で、catchall 要素のアクティブ化関数が呼ばれず、特に NFT_GOTO 判定を持つ要素が保持している対象チェーンの参照カウント（chain->use）が正しく復元されない状態になります。

攻撃者はこのアボート処理を意図的に繰り返すことで参照カウントをひたすらデクリメントし続け、最終的にゼロに到達させます。カーネルは DELCHAIN 操作を成功と見なしてチェーンのメモリを解放してしまいますが、実際にはまだ catchall 要素がそのチェーンをポインタで参照しています。これが典型的な Use-After-Free（解放後メモリ使用） 状態を作り出し、任意コード実行・特権昇格が可能になるという巧妙なエクスプロイトチェーンです。

nftables アボート処理における論理比較	コードの挙動と影響
正常な関数（`nft_mapelem_activate`）	`if (nft_set_elem_active(ext, iter->genmask)) return 0;` ― アクティブならスキップ。参照カウントが正しく復元される。
脆弱な関数（`nft_map_catchall_activate`）	`if (!nft_set_elem_active(ext, genmask)) continue;` ― 条件が逆転。参照カウントが復元されない。
最終的な影響（Use-After-Free）	参照カウントが 0 に偽装されメモリが解放。後続のアクセスで特権昇格を許す。

この脆弱性が特に厄介なのは、 ユーザー名前空間（User Namespaces） が有効な環境、つまり CONFIG_USER_NS が有効な Ubuntu 22.04 LTS / 24.04 LTS、Debian などのデフォルト設定では、非特権ユーザーでも悪用できてしまう点です。コンテナを前提としたモダンなディストリビューションがそのまま攻撃の対象になります。

Sieber 氏の検証によれば、高負荷時でも成功率は 約80% 、アイドル状態では 99%以上 という極めて高い安定性です。

対策はアップストリームのパッチ コミット f41c5d1 が適用されたカーネルへの即時更新です。即時対応が難しい場合の緩和策として、sysctl -w kernel.unprivileged_userns_clone=0 で非特権ユーザーによるユーザー名前空間の作成を無効化することが強く推奨されます。コンテナ技術に不可欠な利便性（名前空間）が同時に広大な攻撃対象領域を開いてしまうという、現代 Linux セキュリティの構造的なジレンマを改めて突きつける事例ですね。

4. FirefoxにVulkan Video Decoding が統合！　Linuxマルチメディアの長年の鬼門がついに解消へ

Linux デスクトップ環境における「動画再生のハードウェアアクセラレーション」は、長年エンジニアの頭を悩ませてきた鬼門でした。その状況を変える重要なコミットが Mozilla Firefox にマージされました。 Linux 向け Firefox に Vulkan Video Decoding の初期サポートが統合 されたのです。

これまで Linux 上での Firefox の動画デコードは主に VA-API （Video Acceleration API）や VDPAU （Video Decode and Presentation API for Unix）に依存してきました。しかし Intel・AMD 向けのオープンソースドライバーでは VA-API が比較的うまく動くものの、プロプライエタリな NVIDIA ドライバー環境では完全な互換性を確保するのが極めて難しく、非公式なラッパーを介して無理やり動かすというハックが常態化していました。

この断片化を打破するために Khronos Group が策定したのが「 Vulkan Video 」拡張機能です。低オーバーヘッドな次世代グラフィックス API である Vulkan のコア機能の中に、 H.264 / H.265（HEVC）/ AV1 のハードウェアデコード・エンコード命令を直接統合した完全なクロスプラットフォーム仕様です。

今回のマージが実現した背景には、エコシステム全体の準備が整ったことがあります。Mesa（Intel/AMD 向けオープンソースドライバー群）や NVIDIA 公式ドライバーが Vulkan Video の実装を進め、マルチメディアフレームワークのデファクトスタンダードである FFmpeg 6.1 が Vulkan Video のデコード・エンコードサポートを本格導入したことで、ブラウザが利用する土台が完成しました。

Linux ビデオアクセラレーション API の比較	特徴と現在の状況
VA-API	Intel 主導で開発。オープンソースドライバーで広く使われるが NVIDIA 環境では難あり。
VDPAU	NVIDIA 主導で開発された古い規格。現在はメンテナンスが滞りがち。
Vulkan Video	Khronos 策定。GPU ベンダーを問わないクロスプラットフォームな単一コードパス。

最大の恩恵は「マルチメディアスタックの単一化」です。ブラウザベンダーは Windows の DXVA、macOS の VideoToolbox、Linux の VA-API といった OS 固有の複雑な API 群の保守から解放され、Vulkan という単一コードパスであらゆるプラットフォームのハードウェアデコードをカバーできるようになります。エンドユーザーにとっても CPU ソフトウェアデコードを回避でき、消費電力の低下とバッテリー駆動時間の延長という直接的な恩恵があります。

今後は NVK（オープンソース NVIDIA ドライバー）との相乗効果も期待されます。ただし、一部のハードウェア（例：Raspberry Pi 5）では H.264 や VP9 コーデックのハードウェアデコード回路が搭載されておらず HEVC のみ対応 という物理的な制約も残っています。Linuxグラフィックススタックの歴史的な転換点として、今後の動向を引き続き追いかけていきたいですね。

5. RISC-V Summit Europe 2026 が開幕！　「Open Physical AI」がエッジコンピューティングを変える

プロセッサ業界においてオープンソース ISA（命令セットアーキテクチャ）として急速に存在感を高めている RISC-V 。そのエコシステムの最前線を集めたカンファレンス「 RISC-V Summit Europe 2026 」が、2026年 6月8日〜12日 の会期で イタリア・ボローニャ にて開催されています。欧州は RISC-V グローバルコミュニティの実に 3分の1 を占める重要なハブです。

今年のサミットで最も注目を集めているテーマが 「Open Physical AI」 という概念です。ETH チューリッヒとボローニャ大学でデジタル回路システムを率い、オープンソースの超低消費電力 RISC-V プロセッサプロジェクト PULP（Parallel Ultra-Low-Power） を主導する Luca Benini 教授が、基調講演「 Enabling Open Physical AI 」に登壇しました。

「Physical AI（物理 AI）」とは、クラウド上でテキストや画像を生成するソフトウェアベースの生成 AI とは明確に異なります。センサーを通じて現実の物理世界を認識し、推論を実行し、ロボット・自動車・スマートグラス・人工衛星などのアクチュエータを通じて物理的にインタラクトする AI システムのことです。ミリワット単位の極端な電力制約、リアルタイム性、そして高い安全性が求められる領域です。

また、このドメイン特化型の可能性を実証するユニークな事例として、 サンパウロ大学 の研究チームによる 「Internet of Trees（木々のインターネット）」 プロジェクトも発表されました。熱帯雨林全体に超低電力のカスタム RISC-V プロセッサ搭載のセンサーネットワークを配備し、チェーンソーの音響データをリアルタイムのオンデバイス ML で検知して違法伐採を即座に特定するというものです。すごくロマンがある……！

RISC-V Summit Europe 2026 における主要な技術テーマ	詳細と今後の展望
Open Physical AI	現実世界と対話するエッジ AI。PULP プラットフォームによる超低電力アーキテクチャの実証。
Matrix Extensions（行列演算拡張）	AI ワークロード（Transformer など）に不可欠な行列演算の標準化。コンパイラ統合が進展中。
Internet of Trees	環境モニタリングに最適化されたカスタム RISC-V チップの展開。違法伐採の音響検知。
RISC-V Isolation Toolbox	マイクロコントローラレベルでの物理メモリ保護やコンフィデンシャルコンピューティングのアーキテクチャ強化。

ソフトウェアエンジニアや組み込みアーキテクトにとって、このエコシステムの成熟は「ハードウェアとソフトウェアの境界線の融解」を意味します。オープンソースのツールチェーンで Transformer の推論タスクに必要な行列演算アクセラレータ（Matrix Extensions）をプラグイン感覚で組み込んだカスタムシリコンを設計し、その上のソフトウェアと協調設計（Co-design）するアプローチが現実的な選択肢になる時代、いよいよ目前に迫っています。Linux がクラウドを変革したように、RISC-V がエッジデバイスの世界を覆す歴史的転換点を目撃しているのかもしれません。

今日の豆知識（今日は何の日 3選）

1. 我が家のカギを見直す「ロックの日」

「6（ロ）9（ク）」の語呂合わせにちなんで、日本ロックセキュリティ協同組合が 2001年 に正式制定した記念日です。空き巣や自転車の盗難の多くが「無施錠」を狙った犯罪というデータを背景に、年に一度この日を契機に玄関や窓の鍵を点検しようという呼びかけです。

IT エンジニア的には「鍵」といえば IAM（ID・アクセス管理）や暗号化キー（Key Management）を思い浮かべますよね。物理的な南京錠もサイバーの PKI も、「鍵の管理が甘いとやられる」という本質は同じ。ローテーションされていない API キー、使われていない SSH 鍵……今日この機会に棚卸ししてみてはいかがでしょう。

2. 世界認定の日（World Accreditation Day）

IAF（国際認定機関フォーラム） と ILAC（国際試験所認定協力機構） が合同で立ち上げた世界規模のイニシアチブによる記念日です。「認定（Accreditation）」とは、製品・サービス・マネジメントシステムが国際規格に基づいて正しく・公平に評価されていることを、信頼できる第三者機関が保証するプロセスのことです。

IT 業界では ISMS（情報セキュリティマネジメントシステム）やクラウドセキュリティの各種認証、ハードウェアのコンプライアンス試験などが「認定」の枠組みの上に成り立っています。今回の nftables 脆弱性も、CVE の採番・公開プロセス自体がこうした国際的な「認定」インフラに支えられていると思うと、縁を感じますね。

3. ピョートル1世、ジョニー・デップ、ナタリー・ポートマンの誕生日

歴史を振り返ると、6月9日は社会や文化に大きなインパクトを与えた人物たちが生まれた日です。

1672年 には、遅れていたロシアを劇的に近代化・西欧化した ピョートル1世（大帝） が誕生しています。既存の古いシステムを根本から解体して最新のアーキテクチャを果敢に導入したその姿勢、究極のシステムアーキテクト感がありますね。一方で現代エンターテインメント界からは、カメレオンのような演技で世界中を魅了する俳優 ジョニー・デップ （ 1963年 生まれ）と、知性と表現力でアカデミー賞を受賞した ナタリー・ポートマン （ 1981年 生まれ）の誕生日でもあります。高い専門性と豊かな表現力を武器に世界を牽引するクリエイターたちに思いを馳せながら、日々のコードにも創造性のスパイスを忘れずにいきたいですね。

まとめ：「信頼・プロセス・開放性」をめぐる一日

今日のトピックを振り返ると、通底するテーマが浮かび上がります。それは 「技術の進化に対する、人間（コミュニティ）とプロセスの適応」 です。

rsync の AI 支援コード騒動は、AIの使用という事実そのものが感情的な拒絶を引き起こすパラドックスを証明しました。一方で VS Code の 2 時間遅延は、「継続的デリバリーの即時反映」というベストプラクティスを見直し、セキュリティのための意図的な摩擦をシステムに組み込む時代へのシフトを示しています。

nftables の CVE-2026-23111 は、コンテナ技術に不可欠な利便性（ユーザー名前空間）が同時に致命的な刃となってしまうジレンマを突きつけました。その一方で Firefox の Vulkan Video 統合と RISC-V Summit の Open Physical AI は、抽象化レイヤーの無駄を取り除きハードウェアリソースを極限まで効率的に使う「オープンソースの力強い潮流」を確認させてくれました。

どれも一筋縄ではいきませんが、技術の表層だけでなく、その背後にあるアーキテクチャの変化とコミュニティの力学を読み解く「見立ての力」が問われているのは間違いないですね。

（皆さんのサーバー、nftables のパッチは当たってますか？ CVE-2026-23111 への対応状況や、VS Code の 2 時間遅延でハマったこと・逆に助かったことなど、ぜひ X（旧 Twitter）で「 #Agyテックブログ 」のハッシュタグを添えて教えてください！　思わぬ事例が集まると嬉しいです。）

それでは、また次回の記事でお会いしましょう！

引用文献

rsync - Samba.org, 6月 9, 2026にアクセス、 https://www.samba.org/rsync/
NEWS for rsync 3.4.3 (20 May 2026) - Samba.org, 6月 9, 2026にアクセス、 https://download.samba.org/pub/rsync/NEWS
rsync 3.4.3 and later won’t build for Linux < 5.6 out of the box due to openat2() #924 - GitHub, 6月 9, 2026にアクセス、 https://github.com/RsyncProject/rsync/issues/924
rsync over ssh with relative basis –link-dest=../snap.1 can fail with “failed verification – update discarded” in 3.4.3 · Issue #928 · RsyncProject/rsync - GitHub, 6月 9, 2026にアクセス、 https://github.com/RsyncProject/rsync/issues/928
Rsync GitHub Outrage Over Claude AI Use and Buggy Update, 6月 9, 2026にアクセス、 https://www.it-connect.tech/github-backlash-erupts-over-rsync-and-claude-ai-use/
Remove all LLM generated commits before people get hurt by this nonsense. · Issue #934 · RsyncProject/rsync - GitHub, 6月 9, 2026にアクセス、 https://github.com/RsyncProject/rsync/issues/934
Rsync 3.4.3 might break incremental backups for you - Reddit, 6月 9, 2026にアクセス、 https://www.reddit.com/r/sysadmin/comments/1tqvkxz/rsync_343_might_break_incremental_backups_for_you/
Rsync 3.4.3 Regressions Trigger Debate Over AI-Assisted Code - Linuxiac, 6月 9, 2026にアクセス、 https://linuxiac.com/rsync-3-4-3-regressions-trigger-debate-over-ai-assisted-code/
rsync and outrage - Medium, 6月 9, 2026にアクセス、 https://medium.com/@tridge60/rsync-and-outrage-d9849599e5a0
rsync 3.4.4 released, regression fixes - oss-sec - Seclists.org, 6月 9, 2026にアクセス、 https://seclists.org/oss-sec/2026/q2/830
VS Code Adds 2-Hour Delay for Extension Updates - IT-Connect, 6月 9, 2026にアクセス、 https://www.it-connect.tech/vs-code-adds-a-2-hour-delay-to-extension-updates-to-help-block-attacks/
VS Code adds 2-hour delay for extension updates to combat supply chain threats - SC World, 6月 9, 2026にアクセス、 https://www.scworld.com/brief/vs-code-adds-two-hour-delay-for-extension-updates-to-combat-supply-chain-threats
VS Code 1.123 Adds Two-Hour Extension Auto-Update Delay - AI Weekly, 6月 9, 2026にアクセス、 https://aiweekly.co/alerts/vs-code-1123-adds-two-hour-extension-auto-update-delay
VS Code Adds 2-Hour Extension Auto-Update Delay to Limit Supply Chain Attacks - The Hacker News, 6月 9, 2026にアクセス、 https://thehackernews.com/2026/06/vs-code-adds-2-hour-extension-auto.html
Off By !: Exploiting a Use-after-Free in the Linux Kernel - Exodus Intelligence, 6月 9, 2026にアクセス、 https://blog.exodusintel.com/2026/06/08/off-by-exploiting-a-use-after-free-in-the-linux-kernel/
CVE-2026-23111 Common Vulnerabilities and Exposures - SUSE, 6月 9, 2026にアクセス、 https://www.suse.com/security/cve/CVE-2026-23111.html
CVE-2026-23111 Detail - NVD, 6月 9, 2026にアクセス、 https://nvd.nist.gov/vuln/detail/CVE-2026-23111
CVE-2026-23111 - Red Hat Customer Portal, 6月 9, 2026にアクセス、 https://access.redhat.com/security/cve/cve-2026-23111
New Linux Kernel Vulnerability Lets Attackers Escalate Privileges to Root - Cybersecurity News, 6月 9, 2026にアクセス、 https://cybersecuritynews.com/linux-kernel-nftables-vulnerability/
CVE-2026-23111: Linux Kernel Privilege Escalation Flaw - SentinelOne, 6月 9, 2026にアクセス、 https://www.sentinelone.com/vulnerability-database/cve-2026-23111/
Firefox Merges Support For Vulkan Video Decoding - Slashdot, 6月 9, 2026にアクセス、 https://news.slashdot.org/story/26/06/08/1630210/firefox-merges-support-for-vulkan-video-decoding
1753129 - Using Vulkan Video Decode API to hardware decoding - Bugzilla@Mozilla, 6月 9, 2026にアクセス、 https://bugzilla.mozilla.org/show_bug.cgi?id=1753129
Mesa 26.0.0 Release Notes - Mesa3D, 6月 9, 2026にアクセス、 https://docs.mesa3d.org/relnotes/26.0.0.html
It looks like Vulkan video decode has finally merged for Firefox 153 - Reddit, 6月 9, 2026にアクセス、 https://www.reddit.com/r/linux/comments/1tz1o0p/it_looks_like_vulkan_video_decode_has_finally/
Firefox Merges Support for Vulkan Video Decoding - Hacker News, 6月 9, 2026にアクセス、 https://news.ycombinator.com/item?id=48439348
RISC-V Summit Europe 2026 - Welcome, 6月 9, 2026にアクセス、 https://riscv-europe.org/summit/2026/
RISC-V Summit Europe 2026: Industry and Academia Unite in Bologna - EE Times, 6月 9, 2026にアクセス、 https://www.eetimes.com/risc-v-summit-europe-2026-industry-and-academia-unite-in-bologna-to-advance-open-hardware/
RISC-V Summit Europe 2026 - Presentations, 6月 9, 2026にアクセス、 https://riscv-europe.org/summit/2026/presentations
HyperCroc: End-to-End Open-Source RISC-V MCU with a Plug-In Interface for Domain-Specific Accelerators - arXiv, 6月 9, 2026にアクセス、 https://arxiv.org/abs/2603.12308
ロックの日 - 雑学ネタ帳, 6月 9, 2026にアクセス、 https://zatsuneta.com/archives/106091.html
６月９日はロックの日！！ - 愛知県蟹江町公式ホームページ, 6月 9, 2026にアクセス、 https://www.town.kanie.aichi.jp/soshiki/5/rokkunohi.html
IAF/ILAC 2011年「世界認定の日」について, 6月 9, 2026にアクセス、 https://isms.jp/iaf/WAD/index.html
6月9日は何の日？記念日、出来事、誕生日などのまとめ雑学 - ダレトク雑学トリビア, 6月 9, 2026にアクセス、 https://netlab.click/todayis/0609

Nftables on 思いつきそうで思いつかなくていたときに

たった1文字がrootへの裏口に：nf_tables特権昇格、npmワーム「Miasma」、Debian 12 LTS移行、OpenSharing始動（2026年6月11日）

注目のOSSトレンド Top 5

1. たった1文字のバグがrootへの裏口に──nf_tables の特権昇格・コンテナエスケープ（CVE-2026-23111）

2. わずか2時間で57パッケージ汚染──npmワーム「Miasma / Hades」と新隠蔽手法「Phantom Gyp」

3. 本日が節目──Debian 12 “Bookworm” 標準サポート終了とLTSへの移行

4. データとAI資産をまたいで共有──Linux Foundation「OpenSharing Project」始動

5. 18年前のGPUをAIで延命──Copilotが支えるレガシードライバ「R600g」のリファクタリング

今日の豆知識（今日は何の日 3選）

まとめ

引用文献

セキュリティとAIの激動：rsync 3.4.4緊急リリース、VS Code 2時間遅延、nftables特権昇格、Firefox Vulkan Video、RISC-V Summit Europe（2026年6月9日）

注目のOSSトレンド Top 5

1. rsync 3.4.4 緊急リリース！ AI支援コードをめぐるバックラッシュとメンテナの反論

2. VS Code 1.123 の拡張機能「2時間遅延」でサプライチェーン攻撃を封じる

3. Linuxカーネル nftables に深刻な特権昇格脆弱性（CVE-2026-23111）

4. FirefoxにVulkan Video Decoding が統合！ Linuxマルチメディアの長年の鬼門がついに解消へ

5. RISC-V Summit Europe 2026 が開幕！ 「Open Physical AI」がエッジコンピューティングを変える

今日の豆知識（今日は何の日 3選）

1. 我が家のカギを見直す「ロックの日」

2. 世界認定の日（World Accreditation Day）

3. ピョートル1世、ジョニー・デップ、ナタリー・ポートマンの誕生日

まとめ：「信頼・プロセス・開放性」をめぐる一日

引用文献

1. rsync 3.4.4 緊急リリース！　AI支援コードをめぐるバックラッシュとメンテナの反論

4. FirefoxにVulkan Video Decoding が統合！　Linuxマルチメディアの長年の鬼門がついに解消へ

5. RISC-V Summit Europe 2026 が開幕！　「Open Physical AI」がエッジコンピューティングを変える