Ein logischer Fehler im kryptografischen Subsystem des Linux-Kernels ermöglicht es unprivilegierten lokalen Benutzern, ihre Rechte auf die Root-Ebene zu erhöhen. Die großen Desenvolvedores-Distributionen haben bereits mit der Verteilung von Patches zur Behebung von CVE-2026-31431, bekannt als Copy Fail, begonnen.
Das Problem liegt in der Authentifizierungsvorlage, die bei authentifizierten Verschlüsselungsvorgängen verwendet wird. Ele ermöglicht das Schreiben von vier kontrollierten Bytes in den Seitencache jeder lesbaren Datei. Die Änderung von Essa wirkt sich direkt auf das Laden von Binärdateien im Kernel aus.
Detalhes Techniker für Authentifizierungsfehler
Der Fehler entstand durch eine 2017 im Modul algif_aead implementierte Änderung. Die Änderung Essa ermöglichte, dass Seiten-Cache-Seiten in bestimmten Scatterlist-Szenarien zum Schreiben verfügbar waren. Diferente Im Gegensatz zu anderen klassischen Schwachstellen erfordert Copy Fail keine Race Conditions, um zu funktionieren.
Pesquisadores von Theori identifizierte das Problem mit der Unterstützung von KI-basierten Scan-Tools. Der Proof of Concept ist ein Python-Skript mit nur 10 Zeilen und 732 Bytes. Ele ändert Setuid-Binärdateien und führt Code mit erhöhten Rechten auf den meisten Distributionen aus, die seit 2017 veröffentlicht wurden.
- CVE-2026-31431 erhielt eine Bewertung von 7,8/10, was als hoher Schweregrad eingestuft wird
- Exploração funktioniert in mandantenfähigen Umgebungen und Containern mit gemeinsam genutztem Kernel
- Der gemeinsam genutzte Page-Cache auf dem Host ermöglicht die potenzielle Flucht von Kubernetes-Containern
- Não ist isoliert aus der Ferne ausnutzbar, verstärkt jedoch andere Vektoren
Der Exploit verändert die Binärdatei im Speicher, ohne ereignisbasierte Erkennungsmechanismen des Dateisystems wie inotify auszulösen. Isso macht die Erkennung in Echtzeit komplexer.
https://twitter.com/DarkWebInformer/status/2049579219190165658?ref_src=twsrc%5Etfw
Impacto in Produktions- und Containerumgebungen
Sistemas, die nicht vertrauenswürdigen Code ausführen, wie etwa CI/CD-Runner oder gemeinsam genutzte Server, sind stärker gefährdet. Der gemeinsam genutzte Seitencache auf Hostebene stellt in Containerumgebungen ein konkretes Escape-Risiko dar.
Distribuições wie Debian, Ubuntu und SUSE haben bereits aktualisierte Kernel zur Verfügung gestellt. Red Hat hat seine anfängliche Aufschubposition geändert und bietet den Patch nun synchron mit dem Ökosystem an. Outros-Anbieter, einschließlich Fedora, haben den Fix ebenfalls bestätigt.
Administradores, die mehrere Mandanten oder Workloads von Drittanbietern verwalten, sollten dem Upgrade Priorität einräumen. Der Fehler wurde nach einer koordinierten Offenlegung schnell sichtbar.
Como entschärfen, bis der vollständige Patch angewendet wird
Eine vorübergehende Maßnahme besteht darin, das Modul algif_aead zu deaktivieren. Isso verhindert in den meisten Szenarien das Laden der anfälligen Komponente.
- Crie die Datei /etc/modprobe.d/disable-algif.conf mit dem Inhalt: install algif_aead /bin/false
- Execute rmmod algif_aead, um das Modul zu entfernen, wenn es geladen ist
Die Essa-Konfiguration kann sich auf Anwendungen auswirken, die explizit vom Verschlüsselungsmodul abhängig sind. Testes in Staging-Umgebungen wird vor der Anwendung in der Produktion empfohlen. Das offizielle Atualizações bleibt die endgültige Lösung.
Atualizações von Distributionen veröffentlicht
Der Patch-Rollout erfolgt in koordinierter Weise zwischen den Hauptbetreuern. Debian und Ubuntu haben neue Kernel mit der erforderlichen Wiederherstellung des In-Place-Verhaltens von algif_aead veröffentlicht. SUSE folgte diesem Beispiel mit aktualisierten Paketen.
Red Hat hat seine Leitlinien nach interner Überprüfung angepasst. Die Linux-Community verfolgt den Prozess auf Diskussionslisten und technischen Foren. Muitos-Administratoren haben die Anwendung bereits auf kritischen Servern gestartet.
Der jüngste Anstieg an Schwachstellenmeldungen steht in direktem Zusammenhang mit dem Einsatz von KI-Tools bei der Fehlersuche. Programas verzeichnete wie Internet Bug Bounty ein hohes Einreichaufkommen, was zu vorübergehenden Anpassungen der Vergabeprozesse führte.
Was ändert sich für Linux-Systemadministratoren?
Die Entdeckung verstärkt die Notwendigkeit, Kernel auf dem neuesten Stand zu halten, insbesondere in gemeinsam genutzten Infrastrukturen. Sicherheit Equipes bewertet jetzt standardmäßig geladene kryptografische Module und Kernelkomponenten genauer.
Copy Fail ähnelt historischen Verwerfungen wie Dirty Cow und Dirty Pipe, zeichnet sich jedoch durch seine Einfachheit der Erkundung und seinen Umfang aus. Öffentlicher PoC erleichtert das Testen, beschleunigt aber auch potenziellen Missbrauch in ungepatchten Umgebungen.
Pesquisadores schätzt, dass die meisten seit 2017 aktiven Installationen sofortige Aufmerksamkeit erfordern. Durch die Abstimmung zwischen den Anbietern wurde der Offenlegungszeitraum nach der verantwortungsvollen Offenlegung begrenzt.