Уразливість Copy Fail дає змогу перейти до рутування дистрибутивів Linux

Логічний недолік у криптографічній підсистемі ядра Linux дозволяє непривілейованим локальним користувачам підвищити свої права до кореневого рівня. Основні дистрибутиви Desenvolvedores вже почали розповсюджувати виправлення для виправлення CVE-2026-31431, відомого як Copy Fail.

Проблема полягає в шаблоні authenticationsn, який використовується в операціях шифрування з автентифікацією. Ele дає змогу записати чотири контрольовані байти до кеша сторінок будь-якого читаного файлу. Зміна Essa безпосередньо впливає на завантаження двійкових файлів ядра.

Спеціалісти з помилкою автентифікації Detalhes

Помилка виникла через зміни, реалізовані в 2017 році в модулі algif_aead. Зміни Essa дозволили зробити сторінки кешу сторінок доступними для запису в певних сценаріях розсіяного списку. Diferente З інших класичних уразливостей Copy Fail не потребує умов гонки для роботи.

Pesquisadores з Theori виявив проблему за допомогою інструментів сканування на основі ШІ. Підтвердженням концепції є сценарій Python лише з 10 рядками та 732 байтами. Ele змінює двійкові файли setuid і запускає код із підвищеними привілеями в більшості дистрибутивів, випущених з 2017 року.

• CVE-2026-31431 отримав оцінку 7,8/10, класифікований як високий рівень серйозності
• Exploração працює в мультитенантних середовищах і контейнерах зі спільним ядром
• Спільний кеш Page на хості дозволяє потенційно уникнути контейнерів Kubernetes
• Não можна віддалено використовувати окремо, але посилює інші вектори

Експлойт змінює двійковий файл у пам’яті, не запускаючи механізми виявлення подій файлової системи, такі як inotify. Isso робить виявлення більш складним у реальному часі.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

Impacto у виробничих і контейнерних середовищах

Sistemas, які запускають ненадійний код, наприклад програми CI/CD або спільні сервери, є більш уразливими. Спільний кеш сторінок на рівні хоста створює конкретну загрозу виходу в контейнерне середовище.

Distribuições, як і Debian, Ubuntu і SUSE, вже зробили доступними оновлені ядра. Red Hat змінив свою початкову позицію відстрочки і тепер пропонує виправлення синхронно з екосистемою. Виробники Outros, включаючи Fedora, також підтвердили виправлення.

Administradores, які керують декількома клієнтами або робочими навантаженнями сторонніх розробників, мають визначати пріоритет оновлення. Помилка швидко стала видимою після скоординованого розкриття.

Leia Também

EA Sports FC 26 з’являється на PlayStation Plus разом із Wuchang Fallen Feathers

Нова ставка Capcom переносить дослідження космосу та маніпулювання гравітацією на консолі нового покоління

Nintendo визначає запуск нового покоління консолі з повним відтворенням класичної Zelda

Como пом’якшує, доки не буде застосовано повне виправлення

Тимчасовим заходом є відключення модуля algif_aead. Isso запобігає завантаженню вразливого компонента в більшості сценаріїв.

• Crie файл /etc/modprobe.d/disable-algif.conf із вмістом: install algif_aead /bin/false
• Execute rmmod algif_aead для видалення модуля, якщо він завантажений

Конфігурація Essa може впливати на програми, які явно залежать від модуля шифрування. Testes у проміжних середовищах рекомендується перед застосуванням у виробництві. Офіційний Atualizações залишається остаточним рішенням.

Atualizações випущений дистрибутивами

Розгортання виправлень відбувається узгоджено між основними розробниками. Debian і Ubuntu опублікували нові ядра з необхідним поверненням до поведінки на місці algif_aead. SUSE послідував цьому прикладу з оновленими пакетами.

Red Hat узгодив свої вказівки після внутрішньої перевірки. Спільнота Linux стежить за процесом у списках обговорень і на технічних форумах. Адміністратори Muitos вже запустили програму на критичних серверах.

Нещодавнє збільшення кількості повідомлень про вразливості безпосередньо пов’язане з використанням інструментів штучного інтелекту для пошуку помилок. Programas, як і Internet Bug Bounty, зафіксував велику кількість заявок, що призвело до тимчасових змін у процесах присудження.

Що зміниться для системних адміністраторів Linux

Відкриття посилює потребу підтримувати ядра в актуальному стані, особливо на спільних інфраструктурах. Security Equipes тепер більш ретельно оцінює криптографічні модулі та компоненти ядра, завантажені за замовчуванням.

Copy Fail нагадує історичні розломи, такі як Dirty Cow і Dirty Pipe, але виділяється своєю простотою дослідження та широтою охоплення. Public PoC полегшує тестування, але також прискорює можливі зловживання в середовищах без виправлень.

За оцінками Pesquisadores, більшість установок, активних з 2017 року, потребують негайної уваги. Координація між постачальниками обмежила період впливу після відповідального розкриття.