Уязвимостта при неуспешно копиране позволява ескалация до root на Linux дистрибуции

Логически пропуск в криптографската подсистема на ядрото Linux позволява на непривилегировани локални потребители да издигнат правата си до ниво root. Основните дистрибуции на Desenvolvedores вече започнаха да разпространяват корекции за коригиране на CVE-2026-31431, известен като Copy Fail.

Проблемът е в шаблона authenticationsn, използван при удостоверени операции за криптиране. Ele прави възможно записването на четири контролирани байта в кеша на страниците на всеки четим файл. Промяната на Essa пряко засяга зареждането на ядрото на двоичните файлове.

Техници за грешка при удостоверяване на Detalhes

Грешката възникна от промяна, въведена през 2017 г. в модула algif_aead. Промяната на Essa позволи на страниците в кеша на страниците да бъдат достъпни за запис в определени сценарии на scatterlist. Diferente От другите класически уязвимости, Copy Fail не изисква условия на състезание, за да работи.

Pesquisadores от Theori идентифицира проблема с поддръжката на базирани на AI инструменти за сканиране. Доказателството за концепцията е скрипт Python само с 10 реда и 732 байта. Ele модифицира двоичните файлове на setuid и изпълнява код с повишени привилегии на повечето дистрибуции, пуснати след 2017 г.

• CVE-2026-31431 получи резултат от 7,8/10, класифициран като висока степен на тежест
• Exploração работи в среди с множество клиенти и контейнери със споделено ядро
• Page споделен кеш на хост позволява потенциално бягство на Kubernetes контейнери
• Não може да се използва дистанционно изолирано, но усилва други вектори

Експлойтът променя двоичния файл в паметта, без да задейства механизми за откриване на събития, базирани на файловата система, като inotify. Isso прави откриването по-сложно в реално време.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

Impacto в производствени и контейнерни среди

Sistemas, които изпълняват ненадежден код, като CI/CD runners или споделени сървъри, са по-изложени. Споделеният кеш на страницата на ниво хост представлява конкретен риск за бягство в контейнеризирани среди.

Distribuições като Debian, Ubuntu и SUSE вече направиха налични актуализирани ядра. Red Hat промени първоначалната си позиция за отлагане и сега предлага корекцията в синхрон с екосистемата. Доставчиците на Outros, включително Fedora, също потвърдиха корекцията.

Administradores, които управляват множество клиенти или работни натоварвания на трети страни, трябва да дадат приоритет на надстройката. Грешката бързо стана видима след координирано разкриване.

Leia Também

EA Sports FC 26 пристига на PlayStation Plus заедно с Wuchang Fallen Feathers

Новият залог на Capcom носи изследването на космоса и манипулирането на гравитацията в конзолите от следващо поколение

Създателите потвърждават унищожаването на оригинални кукли, използвани за популяризиране на класическия Star Fox

Como смекчава до прилагане на пълна корекция

Временна мярка е да деактивирате модула algif_aead. Isso предотвратява зареждането на уязвимия компонент в повечето сценарии.

• Crie файла /etc/modprobe.d/disable-algif.conf със съдържанието: инсталирайте algif_aead /bin/false
• Execute rmmod algif_aead за премахване на модула, ако е зареден

Essa конфигурацията може да засегне приложения, които изрично зависят от модула за криптиране. Testes в сценични среди се препоръчват преди прилагане в производството. Официалният Atualizações остава окончателното решение.

Atualizações, издаден от дистрибуции

Внедряването на корекцията се извършва по координиран начин между основните поддържащи. Debian и Ubuntu публикуваха нови ядра с необходимото връщане към поведението на място на algif_aead. SUSE последва примера с актуализирани пакети.

Red Hat приведе своите насоки след вътрешен преглед. Общността на Linux следва процеса в дискусионни списъци и технически форуми. Администраторите на Muitos вече са стартирали приложението на критични сървъри.

Скорошното увеличение на докладите за уязвимости е пряко свързано с използването на AI инструменти при лов на грешки. Programas, подобно на Internet Bug Bounty, записа голям обем от заявки, което доведе до временни корекции в процесите на възлагане.

Какво се променя за системните администратори на Linux

Откритието засилва необходимостта ядрата да се поддържат актуални, особено в споделените инфраструктури. Security Equipes вече оценява по-внимателно криптографските модули и компонентите на ядрото, заредени по подразбиране.

Copy Fail наподобява исторически грешки като Dirty Cow и Dirty Pipe, но се откроява с простотата си на изследване и широчината на обхвата. Public PoC улеснява тестването, но също така ускорява потенциалната злоупотреба в среди без корекции.

Pesquisadores изчислява, че повечето инсталации, активни от 2017 г., изискват незабавно внимание. Координацията между доставчиците ограничи периода на експозиция след отговорно разкриване.