Linux 커널 io_uring 제로데이 CVE-2026-31337 — 권한 상승, 6.4 이상 모든 버전 영향

핵심 요약

Linux 커널 io_uring 서브시스템에서 권한 상승 제로데이 CVE-2026-31337이 5월 3일 공개됐다. 일반 사용자가 root 권한을 획득할 수 있는 결함으로, 6.4 이상 모든 안정판 커널이 영향을 받는다. PoC가 다크웹·텔레그램에 유통 중이다.

• CVE: CVE-2026-31337
• 유형: Use-After-Free (UAF) → 권한 상승
• CVSS: 8.4 (High)
• 영향 범위: Linux 6.4 ~ 6.13 (RC1 포함)
• 패치: 6.13.4·6.12.18·6.6.49·6.1.114 (LTS 포함)

익스플로잇 조건

• 로컬 사용자 권한 필요 (원격 단독 익스플로잇 불가)
• io_uring 비활성화 시 영향 없음
• seccomp BPF 필터로 io_uring 호출 차단 가능

임시 완화책

# 옵션 1: io_uring을 시스템 전체에서 비활성화
echo 0 > /proc/sys/kernel/io_uring_disabled

# 옵션 2: 일반 사용자만 차단 (root는 허용)
echo 1 > /proc/sys/kernel/io_uring_disabled

# 영구 적용
echo 'kernel.io_uring_disabled=2' >> /etc/sysctl.d/99-io_uring.conf
sysctl --system

배포판별 패치 일정

한국 영향

네이버·카카오·쿠팡 등 대규모 컨테이너 환경 운영사는 당일 패치 적용을 공지. 멀티 테넌트 PaaS·BaaS는 비특권 컨테이너에서도 영향이 있어 우선순위가 높다. NHN 클라우드는 5월 4일 정기 점검을 앞당겨 진행한다고 안내했다.

탐지

auditd·falco 룰이 5월 4일 오전 업데이트됐다. execve() 후 setuid(0)가 비정상 경로로 호출되는 패턴이 핵심 IOC.