Уязвимость Copy Fail позволяет получить root-права в дистрибутивах Linux.

Логическая ошибка в криптографической подсистеме ядра Linux позволяет непривилегированным локальным пользователям повысить свои права до корневого уровня. Разработчики основных дистрибутивов уже начали распространять патчи для исправления CVE-2026-31431, известные как Copy Fail.

Проблема заключается в шаблоне аутентификацииn, используемом в операциях шифрования с аутентификацией. Это позволяет записать четыре контролируемых байта в страничный кэш любого читаемого файла. Это изменение напрямую влияет на загрузку двоичных файлов ядром.

Технические подробности ошибки аутентификации

Ошибка возникла из-за изменения, реализованного в 2017 году в модуле algif_aad. Это изменение позволило сделать страницы кэша страниц доступными для записи в определенных сценариях списков разброса. В отличие от других классических уязвимостей, Copy Fail не требует для работы условий гонки.

Исследователи из Theori выявили проблему с помощью инструментов сканирования на основе искусственного интеллекта. Доказательством концепции является скрипт Python всего из 10 строк и 732 байта. Он изменяет двоичные файлы setuid и запускает код с повышенными привилегиями в большинстве дистрибутивов, выпущенных с 2017 года.

• CVE-2026-31431 получил оценку 7,8 из 10 и классифицирован как высокая степень серьезности.
• Эксплойт работает в мультитенантных средах и контейнерах с общим ядром.
• Общий кэш страниц на хосте допускает потенциальную утечку контейнеров Kubernetes.
• Невозможно удаленно использовать изолированно, но усиливает другие векторы

Эксплойт изменяет двоичный файл в памяти, не запуская механизмы обнаружения на основе событий файловой системы, такие как inotify. Это усложняет обнаружение в реальном времени.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

Влияние на производственные среды и контейнеры

Системы, на которых выполняется ненадежный код, например средства запуска CI/CD или общие серверы, более уязвимы. Общий кэш страниц на уровне хоста представляет собой конкретный риск побега в контейнерных средах.

Такие дистрибутивы, как Debian, Ubuntu и SUSE, уже предоставили обновленные ядра. Red Hat изменила первоначальную позицию задержки и теперь предлагает патч, синхронизированный с экосистемой. Другие поставщики, включая Fedora, также подтвердили наличие исправления.

Администраторам, которые управляют несколькими арендаторами или сторонними рабочими нагрузками, следует определить приоритет обновления. Ошибка стала быстро заметной после скоординированного раскрытия.

Leia Também

EA Sports FC 26 выходит на PlayStation Plus вместе с Wuchang Fallen Feathers

Новая ставка Capcom переносит исследование космоса и управление гравитацией на консоли нового поколения

Nintendo определяет выпуск консоли нового поколения с полным воссозданием классической Zelda

Как смягчить последствия до применения полного патча

Временная мера — отключить модуль algif_aad. Это предотвращает загрузку уязвимого компонента в большинстве сценариев.

• Создайте файл /etc/modprobe.d/disable-algif.conf с содержимым: install algif_aad /bin/false
• Запустите rmmod algif_aad, чтобы удалить модуль, если он загружен.

Этот параметр может повлиять на приложения, которые явно зависят от модуля шифрования. Перед применением в рабочей среде рекомендуется провести тестирование в промежуточной среде. Официальные обновления остаются окончательным решением.

Обновления, выпускаемые дистрибутивами

Внедрение исправлений происходит скоординировано между основными сопровождающими. Debian и Ubuntu опубликовали новые ядра с необходимым возвратом к поведению algif_aad на месте. SUSE последовала этому примеру и обновила пакеты.

Red Hat согласовала свои рекомендации после внутренней проверки. Сообщество Linux следит за процессом в дискуссионных списках и на технических форумах. Многие администраторы уже запустили приложение на критически важных серверах.

Недавнее увеличение количества сообщений об уязвимостях напрямую связано с использованием инструментов искусственного интеллекта для поиска ошибок. Такие программы, как Internet Bug Bounty, зарегистрировали большое количество заявок, что привело к временным изменениям в процессах награждения.

Что изменится для системных администраторов Linux

Это открытие усиливает необходимость поддерживать ядра в актуальном состоянии, особенно в общих инфраструктурах. Команды безопасности теперь более внимательно изучают криптографические модули и компоненты ядра, загружаемые по умолчанию.

Copy Fail напоминает исторические провалы, такие как Dirty Cow и Dirty Pipe, но выделяется простотой исследования и широтой возможностей. Публичный PoC облегчает тестирование, но также ускоряет потенциальные злоупотребления в средах без обновлений.

По оценкам исследователей, большинство объектов, действующих с 2017 года, требуют немедленного внимания. Координация между поставщиками ограничила период раскрытия информации после ответственного раскрытия информации.