概要
GitHub Enterprise Server(GHES)に複数の脆弱性が発見され、2026年5月26日(現地時間)に修正版がリリースされました。今回のアップデートでは、重要度が4段階中最高の「クリティカル(Critical)」と評価される脆弱性が2件含まれており、いずれも内部サービスへの不正アクセスや機密情報漏洩につながるリスクがあります。
GHES を自社オンプレミスまたはプライベート環境で運用している組織は、早急にアップデートを適用する必要があります。
目次
1. 何が起きたか
2026年5月26日(現地時間)、GitHub は GitHub Enterprise Server(GHES)に対して複数の脆弱性を修正するアップデートをリリースしました。
今回対応した脆弱性の内訳は以下のとおりです:
| 重要度 | 件数 |
|---|---|
| クリティカル(Critical) | 2件 |
| 高(High) | 2件 |
| その他(Linux カーネル対応含む) | 2件 |
特に2件のクリティカル脆弱性は、認証なしで悪用される可能性があるものも含まれており、即時対応が必要です。
出典: Security NEXT — 「GitHub Enterprise Server」にクリティカル脆弱性 – 修正版が公開
2. 脆弱性の詳細
① CVE-2026-9312(クリティカル)— SSRF(サーバサイドリクエストフォージェリ)
| 項目 | 内容 |
|---|---|
| CVE 番号 | CVE-2026-9312 |
| 脆弱性の種類 | サーバサイドリクエストフォージェリ(SSRF) |
| 重要度 | クリティカル(Critical) |
| 認証 | 不要(認証なしで悪用可能) |
| 影響 | 内部サービスへの不正リクエスト送信・機密認証情報の取得 |
概要: アップロードエンドポイントにおける入力検証の不備が原因で、攻撃者は認証なしで細工したリクエストを内部サービスに送信できます。これにより、GHES が稼働するネットワーク内部のサービスに不正アクセスされ、機密性の高い認証情報(APIキー、トークンなど)が漏洩するおそれがあります。
SSRF(サーバサイドリクエストフォージェリ)とは: 攻撃者がサーバー自身に「代わりに内部ネットワークへリクエストを送らせる」手法です。通常ファイアウォールで保護されている内部サービスへの間接的なアクセスが可能になります。
② GPG署名キー失効問題(クリティカル・CVE番号なし)
| 項目 | 内容 |
|---|---|
| CVE 番号 | なし(GitHub が重要度「クリティカル」と評価) |
| 重要度 | クリティカル(Critical) |
| 影響 | リリースパッケージの署名検証失敗・なりすましリスク |
概要: GHES のリリースパッケージに使用されていた GPG 署名キーが失効となりました。今後のリリースは新しいキーのみで署名されます。パッチ適用前に、インスタンス内の GPG 公開キーをローテーションする必要があります。
⚠️ 重要: GPG キーのローテーションを行わずにパッチを適用すると、署名検証に失敗する可能性があります。必ず事前に対応してください。
③ CVE-2026-8606(高)— サイドチャネル攻撃による環境変数漏洩
| 項目 | 内容 |
|---|---|
| CVE 番号 | CVE-2026-8606 |
| 脆弱性の種類 | サイドチャネル攻撃 |
| 重要度 | 高(High) |
| 認証 | プライベートモード無効時:不要 / 有効時:認証ユーザーが悪用可能 |
| 対象 | GitHub Packages が有効なインスタンス |
| 影響 | 機密環境変数の漏洩 |
概要: セキュリティアドバイザリのパッケージ検索機能にサイドチャネル攻撃の脆弱性が存在します。GitHub Packages が有効になっているインスタンスから、機密環境変数(APIキー、シークレットなど)を外部から抽出できる可能性があります。プライベートモードを無効にしている環境では認証なしに悪用可能です。
④ Linux カーネル脆弱性対応(CVE-2026-43284 / CVE-2026-43500)
| 項目 | 内容 |
|---|---|
| 別名 | Dirty Frag |
| 対象 | GHES が内部で利用する Linux カーネル |
Linux カーネルで発見された「Dirty Frag」と呼ばれる脆弱性(CVE-2026-43284、CVE-2026-43500)にも対応しています。
3. 影響範囲・対象バージョン
修正済みバージョン
以下のバージョンにアップデートすることで、上記すべての脆弱性が修正されます:
| バージョンブランチ | 修正済みバージョン |
|---|---|
| GHES 3.20.x | 3.20.3 |
| GHES 3.19.x | 3.19.7 |
| GHES 3.18.x | 3.18.10 |
| GHES 3.17.x | 3.17.16 |
| GHES 3.16.x | 3.16.19 |
⚠️ サポート終了に注意
GHES 3.16 ブランチは 2026年6月2日にサポート終了となります。それ以降はセキュリティアップデートの提供がなくなります。現在 3.16.x を利用している場合は、修正版(3.16.19)への更新に加え、より新しいブランチへの移行計画を立てることを強く推奨します。
4. 推奨対応手順
ステップ1: 現在のバージョンを確認する
GHES の管理コンソール(Management Console)またはサイト管理者ページで現在のバージョンを確認します。
https://<ホスト名>/stafftools/ → 「GitHub Enterprise Server X.X.X」と表示または SSH で確認:
ghe-versionステップ2: GPG 公開キーをローテーションする(パッチ適用前に必須)
アップデート適用前に、インスタンス内の GPG 公開キーをローテーションしてください(後述の手順を参照)。
ステップ3: アップデートを適用する
GitHub Enterprise Server リリースページ から対象バージョンのアップグレードパッケージをダウンロードし、適用してください。
管理コンソール → 「Management Console」 → 「Updates」→ 対象パッケージをアップロードステップ4: GitHub Packages を使用している場合
CVE-2026-8606 の影響を最小化するため、GitHub Packages が有効なインスタンスでは プライベートモードを有効化することを推奨します。
5. GPG署名キーのローテーション手順
パッチ適用前に以下の手順を実施してください。
新しい GPG 公開キーのインポート
GitHub の公式ドキュメントに従い、新しい GPG 公開キーをインスタンスにインポートします。
# GitHub の公式サイトから新しい GPG キーを取得
curl -fsSL https://enterprise.github.com/gpg-key.gpg | gpg --import
# インポートされたキーを確認
gpg --list-keys参考: 詳細な手順は GitHub Docs — Configuring package ecosystem support を参照してください。
パッケージマネージャーの設定更新
APT や YUM を使用している場合、リポジトリの GPG キー設定を更新します:
# APT の場合
sudo apt-key del <古いキーID>
curl -fsSL https://enterprise.github.com/gpg-key.gpg | sudo apt-key add -
# パッケージリストを更新
sudo apt update6. まとめ・YJK からのコメント
今回の GHES アップデートは、クリティカル評価の脆弱性を2件含む重大なセキュリティパッチです。特に CVE-2026-9312(SSRF)は認証なしで悪用可能であり、インターネット経由でアクセス可能な GHES インスタンスは攻撃のリスクが高まります。
対応の優先度
| 対応内容 | 優先度 | 期限 |
|---|---|---|
| GPG 公開キーのローテーション | 🔴 最優先 | パッチ適用前(即時) |
| GHES アップデート適用 | 🔴 最優先 | 可能な限り早急に |
| GHES 3.16.x からの移行計画 | 🟡 高 | 2026年6月2日まで |
| プライベートモードの有効化確認 | 🟡 高 | 今週中 |
一人情シスへのアドバイス
GHES を運用している場合、今回のアップデートは後回しにできないセキュリティパッチです。特に以下の点を確認してください:
- GHES のバージョン確認 → 対象バージョンに該当するか確認
- GPG キーのローテーション → パッチ適用前に必須
- アップデート適用 → 修正済みバージョンへアップグレード
- 3.16.x 利用者はサポート終了日(6月2日)に注意
GHES を利用していない、または GitHub.com(クラウド版)のみを使用している組織は本脆弱性の影響を受けません。
出典