يسمح الخلل المنطقي في نظام التشفير الفرعي لنواة Linux للمستخدمين المحليين المحرومين برفع حقوقهم إلى مستوى الجذر. وقد بدأ مطورو التوزيعات الرئيسية بالفعل في توزيع التصحيحات لتصحيح CVE-2026-31431، والمعروفة باسم فشل النسخ.
تكمن المشكلة في قالب المصادقة المستخدم في عمليات التشفير المصادق عليه. يجعل من الممكن كتابة أربع بايتات يتم التحكم فيها إلى ذاكرة التخزين المؤقت للصفحة لأي ملف قابل للقراءة. يؤثر هذا التغيير بشكل مباشر على تحميل الثنائيات بواسطة النواة.
التفاصيل الفنية لفشل المصادقة
نشأ الخطأ من تغيير تم تنفيذه في عام 2017 في وحدة algif_aead. سمح هذا التغيير بإتاحة صفحات ذاكرة التخزين المؤقت للصفحة للكتابة في سيناريوهات مبعثرة معينة. على عكس الثغرات الأمنية التقليدية الأخرى، لا يتطلب Copy Fail ظروف سباق للعمل.
حدد الباحثون في Theori المشكلة بدعم من أدوات المسح المستندة إلى الذكاء الاصطناعي. والدليل على المفهوم هو نص بايثون الذي يتكون من 10 أسطر و732 بايت فقط. يقوم بتعديل ثنائيات setuid وتشغيل التعليمات البرمجية بامتيازات مرتفعة على معظم التوزيعات التي تم إصدارها منذ عام 2017.
- حصل CVE-2026-31431 على درجة 7.8/10، مصنفة على أنها عالية الخطورة
- يعمل برنامج Exploit في بيئات وحاويات متعددة المستأجرين ذات نواة مشتركة
- تسمح ذاكرة التخزين المؤقت للصفحة المشتركة على المضيف بالتسرب المحتمل لحاويات Kubernetes
- لا يمكن استغلالها عن بعد بمعزل عن غيرها، ولكنها تعمل على تضخيم النواقل الأخرى
يقوم هذا الاستغلال بتغيير الملف الثنائي في الذاكرة دون تشغيل آليات الكشف المستندة إلى أحداث نظام الملفات مثل inotify. وهذا يجعل الكشف أكثر تعقيدًا في الوقت الفعلي.
https://twitter.com/DarkWebInformer/status/2049579219190165658?ref_src=twsrc%5Etfw
التأثير على بيئات الإنتاج والحاويات
الأنظمة التي تقوم بتشغيل تعليمات برمجية غير موثوقة، مثل مشغلات CI/CD أو الخوادم المشتركة، تكون أكثر عرضة للخطر. تشكل ذاكرة التخزين المؤقت للصفحة المشتركة على مستوى المضيف خطرًا ملموسًا للهروب في البيئات الحاوية.
لقد أتاحت توزيعات مثل Debian وUbuntu وSUSE بالفعل أنوية محدثة. قامت Red Hat بتغيير موضع التأخير الأولي الخاص بها وتقدم الآن التصحيح بالتزامن مع النظام البيئي. كما أكد بائعون آخرون، بما في ذلك Fedora، هذا الإصلاح.
يجب على المسؤولين الذين يديرون العديد من المستأجرين أو أحمال عمل الجهات الخارجية إعطاء الأولوية للترقية. اكتسب الخطأ رؤية سريعة بعد الكشف المنسق.
كيفية التخفيف حتى يتم تطبيق التصحيح الكامل
الإجراء المؤقت هو تعطيل وحدة algif_aead. ويمنع هذا المكون الضعيف من التحميل في معظم السيناريوهات.
- قم بإنشاء الملف /etc/modprobe.d/disable-algif.conf بالمحتوى: تثبيت algif_aead /bin/false
- قم بتشغيل rmmod algif_aead لإزالة الوحدة إذا تم تحميلها
قد يؤثر هذا الإعداد على التطبيقات التي تعتمد بشكل صريح على وحدة التشفير. يوصى بالاختبار في بيئات التدريج قبل التطبيق في الإنتاج. تظل التحديثات الرسمية هي الحل النهائي.
التحديثات الصادرة عن التوزيعات
يتم طرح التصحيح بطريقة منسقة بين المشرفين الرئيسيين. قام كل من Debian وUbuntu بنشر حبات جديدة مع الرجوع الضروري إلى سلوك algif_aead الموضعي. حذت SUSE حذوها مع الحزم المحدثة.
قامت شركة Red Hat بمواءمة توجيهاتها بعد المراجعة الداخلية. يتابع مجتمع Linux العملية من خلال قوائم المناقشة والمنتديات التقنية. لقد بدأ العديد من المسؤولين بالفعل التطبيق على الخوادم المهمة.
ترتبط الزيادة الأخيرة في تقارير الثغرات الأمنية ارتباطًا مباشرًا باستخدام أدوات الذكاء الاصطناعي في صيد الأخطاء. سجلت برامج مثل Internet Bug Bounty عددًا كبيرًا من الطلبات المقدمة، مما أدى إلى تعديلات مؤقتة على عمليات الجائزة.
ما التغييرات لمسؤولي نظام Linux
يعزز هذا الاكتشاف الحاجة إلى تحديث النوى، خاصة في البنى التحتية المشتركة. تبحث فرق الأمان الآن عن كثب في وحدات التشفير ومكونات kernel التي يتم تحميلها افتراضيًا.
يشبه Copy Fail الإخفاقات التاريخية مثل Dirty Cow و Dirty Pipe، لكنه يتميز ببساطته في الاستكشاف واتساع نطاقه. يسهل إثبات المفهوم (PoC) العام إجراء الاختبار، ولكنه يعمل أيضًا على تسريع إساءة الاستخدام المحتملة في البيئات غير المصححة.
يقدر الباحثون أن معظم المنشآت النشطة منذ عام 2017 تتطلب اهتمامًا فوريًا. أدى التنسيق بين البائعين إلى الحد من فترة التعرض بعد الإفصاح المسؤول.