Copy Fail -haavoittuvuus mahdollistaa eskaloinnin juurtumaan Linux-jakeluissa

Looginen virhe Linux-ytimen salausalijärjestelmässä mahdollistaa etuoikeutettujen paikallisten käyttäjien nostaa oikeutensa juuritasolle. Suuret Desenvolvedores-jakelut ovat jo alkaneet jakaa korjaustiedostoja korjatakseen CVE-2026-31431, joka tunnetaan nimellä Copy Fail.

Ongelma on autentikointimallissa, jota käytetään todennetuissa salaustoiminnoissa. Ele makes it possible to write four controlled bytes to the page cache of any readable file. Essa-muutos vaikuttaa suoraan binäärien ytimen lataamiseen.

Detalhes-todennusvirheteknikot

Virhe johtui vuonna 2017 tehdystä muutoksesta algif_aead-moduulissa. Essa-muutos salli sivuvälimuistisivujen olevan käytettävissä kirjoittamista varten tietyissä hajaluetteloskenaarioissa. Diferente Muista klassisista haavoittuvuuksista Copy Fail ei vaadi kilpailuolosuhteita toimiakseen.

Theori:n Pesquisadores tunnisti ongelman tekoälypohjaisten skannaustyökalujen tuella. Todiste konseptista on Python-skripti, jossa on vain 10 riviä ja 732 tavua. Ele muokkaa setuid-binääriä ja suorittaa koodia korotetuilla oikeuksilla useimmissa vuoden 2017 jälkeen julkaistuissa jakeluissa.

• CVE-2026-31431 sai arvosanan 7,8/10, luokiteltu vakavaksi
• Exploração toimii usean vuokraajan ympäristöissä ja säilöissä, joissa on jaettu ydin
• Isäntäkoneen jaettu Page-välimuisti mahdollistaa Kubernetes-säilöjen mahdollisen poistumisen
• Não on etäkäytössä erikseen, mutta vahvistaa muita vektoreita

Hyödyntäminen muuttaa muistissa olevaa binaaria käynnistämättä tiedostojärjestelmän tapahtumapohjaisia ​​tunnistusmekanismeja, kuten inotify. Isso tekee havaitsemisesta monimutkaisempaa reaaliajassa.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

Impacto tuotanto- ja konttiympäristöissä

Sistemas, jotka käyttävät epäluotettavaa koodia, kuten CI/CD-ajot tai jaetut palvelimet, ovat alttiimpia. Jaettu sivun välimuisti isäntätasolla aiheuttaa konttiympäristöissä konkreettisen pakoriskin.

Distribuições, kuten Debian, Ubuntu ja SUSE, ovat jo tehneet päivitetyt ytimet saataville. Red Hat on muuttanut alkuperäistä lykkäysasemaansa ja tarjoaa nyt korjaustiedoston synkronoituna ekosysteemin kanssa. Outros-toimittajat, mukaan lukien Fedora, ovat myös vahvistaneet korjauksen.

Administradores, joka hallitsee useita vuokralaisia ​​tai kolmannen osapuolen työkuormia, pitäisi asettaa päivitys etusijalle. Virhe tuli nopeasti näkyviin koordinoidun paljastamisen jälkeen.

Leia Também

PlayStation 3 -järjestelmä piilotti alkuperäisen tuen USB-tulostimille, jotka yleisö unohti

Sony vahvistaa toukokuussa EA Sports FC 26 -simulaattorin ja uudet ilmaiset pelit PlayStation Plusissa

Xiaomi Poco F7 512 GB -laite kirjaa ennennäkemättömän hinnanpudotuksen ja saavuttaa historiallisen arvon verkkokaupassa

Como lievennä, kunnes täydellinen korjaustiedosto on asennettu

Väliaikainen toimenpide on poistaa algif_aead-moduuli käytöstä. Isso estää haavoittuvan osan latautumisen useimmissa skenaarioissa.

• Crie tiedosto /etc/modprobe.d/disable-algif.conf, jonka sisältö on: install algif_aead /bin/false
• Execute rmmod algif_aead poistaaksesi moduulin, jos se on ladattu

Essa-kokoonpano voi vaikuttaa sovelluksiin, jotka ovat nimenomaisesti riippuvaisia ​​salausmoduulista. Testes lavastusympäristöissä suositellaan ennen käyttöä tuotantoon. Virallinen Atualizações pysyy lopullisena ratkaisuna.

Jakelujen julkaisema Atualizações

Korjauksen käyttöönotto tapahtuu koordinoidusti pääylläpitäjien välillä. Debian ja Ubuntu ovat julkaisseet uusia ytimiä, joissa vaaditaan paluuta algif_aeadin paikan päällä olevaan käyttäytymiseen. SUSE seurasi esimerkkiä päivitetyillä paketeilla.

Red Hat on mukauttanut ohjeistustaan ​​sisäisen tarkastelun jälkeen. Linux-yhteisö seuraa prosessia keskustelulistoilla ja teknisillä foorumeilla. Muitos-järjestelmänvalvojat ovat jo käynnistäneet sovelluksen kriittisillä palvelimilla.

Haavoittuvuusraporttien viimeaikainen kasvu liittyy suoraan tekoälytyökalujen käyttöön vianmetsästykseen. Programas, kuten Internet Bug Bounty, kirjasi suuren määrän lähetyksiä, mikä johti tilapäisiin mukautuksiin palkintoprosesseihin.

Mitä muutoksia Linux-järjestelmänvalvojille?

Löytö vahvistaa tarvetta pitää ytimet ajan tasalla, erityisesti jaetuissa infrastruktuureissa. Turvallisuus Equipes arvioi nyt tarkemmin oletusarvoisesti ladatut kryptografiset moduulit ja ytimen komponentit.

Copy Fail muistuttaa historiallisia vikoja, kuten Dirty Cow ja Dirty Pipe, mutta erottuu yksinkertaisuudestaan ​​​​tutkimisesta ja laajuudesta. Julkinen PoC helpottaa testausta, mutta myös nopeuttaa mahdollista väärinkäyttöä korjaamattomissa ympäristöissä.

Pesquisadores arvioi, että useimmat vuoden 2017 jälkeen aktiiviset asennukset vaativat välitöntä huomiota. Toimittajien välinen koordinointi rajoitti altistumisaikaa vastuullisen julkistamisen jälkeen.