Looginen virhe Linux-ytimen salausalijärjestelmässä mahdollistaa etuoikeutettujen paikallisten käyttäjien nostaa oikeutensa juuritasolle. Suuret Desenvolvedores-jakelut ovat jo alkaneet jakaa korjaustiedostoja korjatakseen CVE-2026-31431, joka tunnetaan nimellä Copy Fail.
Ongelma on autentikointimallissa, jota käytetään todennetuissa salaustoiminnoissa. Ele makes it possible to write four controlled bytes to the page cache of any readable file. Essa-muutos vaikuttaa suoraan binäärien ytimen lataamiseen.
Detalhes-todennusvirheteknikot
Virhe johtui vuonna 2017 tehdystä muutoksesta algif_aead-moduulissa. Essa-muutos salli sivuvälimuistisivujen olevan käytettävissä kirjoittamista varten tietyissä hajaluetteloskenaarioissa. Diferente Muista klassisista haavoittuvuuksista Copy Fail ei vaadi kilpailuolosuhteita toimiakseen.
Theori:n Pesquisadores tunnisti ongelman tekoälypohjaisten skannaustyökalujen tuella. Todiste konseptista on Python-skripti, jossa on vain 10 riviä ja 732 tavua. Ele muokkaa setuid-binääriä ja suorittaa koodia korotetuilla oikeuksilla useimmissa vuoden 2017 jälkeen julkaistuissa jakeluissa.
- CVE-2026-31431 sai arvosanan 7,8/10, luokiteltu vakavaksi
- Exploração toimii usean vuokraajan ympäristöissä ja säilöissä, joissa on jaettu ydin
- Isäntäkoneen jaettu Page-välimuisti mahdollistaa Kubernetes-säilöjen mahdollisen poistumisen
- Não on etäkäytössä erikseen, mutta vahvistaa muita vektoreita
Hyödyntäminen muuttaa muistissa olevaa binaaria käynnistämättä tiedostojärjestelmän tapahtumapohjaisia tunnistusmekanismeja, kuten inotify. Isso tekee havaitsemisesta monimutkaisempaa reaaliajassa.
https://twitter.com/DarkWebInformer/status/2049579219190165658?ref_src=twsrc%5Etfw
Impacto tuotanto- ja konttiympäristöissä
Sistemas, jotka käyttävät epäluotettavaa koodia, kuten CI/CD-ajot tai jaetut palvelimet, ovat alttiimpia. Jaettu sivun välimuisti isäntätasolla aiheuttaa konttiympäristöissä konkreettisen pakoriskin.
Distribuições, kuten Debian, Ubuntu ja SUSE, ovat jo tehneet päivitetyt ytimet saataville. Red Hat on muuttanut alkuperäistä lykkäysasemaansa ja tarjoaa nyt korjaustiedoston synkronoituna ekosysteemin kanssa. Outros-toimittajat, mukaan lukien Fedora, ovat myös vahvistaneet korjauksen.
Administradores, joka hallitsee useita vuokralaisia tai kolmannen osapuolen työkuormia, pitäisi asettaa päivitys etusijalle. Virhe tuli nopeasti näkyviin koordinoidun paljastamisen jälkeen.
Como lievennä, kunnes täydellinen korjaustiedosto on asennettu
Väliaikainen toimenpide on poistaa algif_aead-moduuli käytöstä. Isso estää haavoittuvan osan latautumisen useimmissa skenaarioissa.
- Crie tiedosto /etc/modprobe.d/disable-algif.conf, jonka sisältö on: install algif_aead /bin/false
- Execute rmmod algif_aead poistaaksesi moduulin, jos se on ladattu
Essa-kokoonpano voi vaikuttaa sovelluksiin, jotka ovat nimenomaisesti riippuvaisia salausmoduulista. Testes lavastusympäristöissä suositellaan ennen käyttöä tuotantoon. Virallinen Atualizações pysyy lopullisena ratkaisuna.
Jakelujen julkaisema Atualizações
Korjauksen käyttöönotto tapahtuu koordinoidusti pääylläpitäjien välillä. Debian ja Ubuntu ovat julkaisseet uusia ytimiä, joissa vaaditaan paluuta algif_aeadin paikan päällä olevaan käyttäytymiseen. SUSE seurasi esimerkkiä päivitetyillä paketeilla.
Red Hat on mukauttanut ohjeistustaan sisäisen tarkastelun jälkeen. Linux-yhteisö seuraa prosessia keskustelulistoilla ja teknisillä foorumeilla. Muitos-järjestelmänvalvojat ovat jo käynnistäneet sovelluksen kriittisillä palvelimilla.
Haavoittuvuusraporttien viimeaikainen kasvu liittyy suoraan tekoälytyökalujen käyttöön vianmetsästykseen. Programas, kuten Internet Bug Bounty, kirjasi suuren määrän lähetyksiä, mikä johti tilapäisiin mukautuksiin palkintoprosesseihin.
Mitä muutoksia Linux-järjestelmänvalvojille?
Löytö vahvistaa tarvetta pitää ytimet ajan tasalla, erityisesti jaetuissa infrastruktuureissa. Turvallisuus Equipes arvioi nyt tarkemmin oletusarvoisesti ladatut kryptografiset moduulit ja ytimen komponentit.
Copy Fail muistuttaa historiallisia vikoja, kuten Dirty Cow ja Dirty Pipe, mutta erottuu yksinkertaisuudestaan tutkimisesta ja laajuudesta. Julkinen PoC helpottaa testausta, mutta myös nopeuttaa mahdollista väärinkäyttöä korjaamattomissa ympäristöissä.
Pesquisadores arvioi, että useimmat vuoden 2017 jälkeen aktiiviset asennukset vaativat välitöntä huomiota. Toimittajien välinen koordinointi rajoitti altistumisaikaa vastuullisen julkistamisen jälkeen.