Kerentanan Copy Fail membolehkan peningkatan untuk mengakar pada pengedaran Linux

Kepincangan logik dalam subsistem kriptografi kernel Linux membolehkan pengguna tempatan yang tidak bernasib baik untuk meningkatkan hak mereka ke peringkat akar. Pengedaran utama Desenvolvedores telah mula mengedarkan patch untuk membetulkan CVE-2026-31431, dikenali sebagai Copy Fail.

Masalahnya adalah dalam templat pengesahan, digunakan dalam operasi penyulitan yang disahkan. Ele memungkinkan untuk menulis empat bait terkawal ke cache halaman mana-mana fail yang boleh dibaca. Perubahan Essa secara langsung mempengaruhi pemuatan kernel binari.

Juruteknik kegagalan pengesahan Detalhes

Pepijat timbul daripada perubahan yang dilaksanakan pada 2017 dalam modul algif_aead. Perubahan Essa membenarkan halaman cache halaman tersedia untuk ditulis dalam senario senarai penyebar tertentu. Diferente Daripada kelemahan klasik yang lain, Copy Fail tidak memerlukan keadaan perlumbaan untuk berfungsi.

Pesquisadores daripada Theori mengenal pasti isu ini dengan sokongan alat pengimbasan berasaskan AI. Bukti konsep ialah skrip Python dengan hanya 10 baris dan 732 bait. Ele mengubah suai binari setuid dan menjalankan kod dengan keistimewaan yang tinggi pada kebanyakan pengedaran yang dikeluarkan sejak 2017.

• CVE-2026-31431 menerima skor 7.8/10, diklasifikasikan sebagai keterukan tinggi
• Exploração berfungsi dalam persekitaran berbilang penyewa dan bekas dengan kernel dikongsi
• Cache kongsi Page pada hos membolehkan bekas Kubernetes berpotensi melarikan diri
• Não boleh dieksploitasi dari jauh secara berasingan, tetapi menguatkan vektor lain

Eksploitasi mengubah binari dalam ingatan tanpa mencetuskan mekanisme pengesanan berasaskan peristiwa sistem fail seperti inotify. Isso menjadikan pengesanan lebih kompleks dalam masa nyata.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

Impacto dalam persekitaran pengeluaran dan kontena

Sistemas yang menjalankan kod yang tidak dipercayai, seperti pelari CI/CD atau pelayan kongsi, lebih terdedah. Cache halaman yang dikongsi di peringkat hos menimbulkan risiko melarikan diri konkrit dalam persekitaran kontena.

Distribuições seperti Debian, Ubuntu dan SUSE telah menyediakan kernel yang dikemas kini. Red Hat telah menukar kedudukan penangguhan awalnya dan kini menawarkan tampung yang segerak dengan ekosistem. Vendor Outros, termasuk Fedora, juga telah mengesahkan pembetulan itu.

Administradores yang menguruskan berbilang penyewa atau beban kerja pihak ketiga harus mengutamakan peningkatan. Pepijat mendapat keterlihatan pantas selepas pendedahan yang diselaraskan.

Leia Também

EA Sports FC 26 tiba di PlayStation Plus bersama-sama dengan Wuchang Fallen Feathers

Pertaruhan baharu Capcom membawa penerokaan angkasa lepas dan manipulasi graviti kepada konsol generasi akan datang

Pencipta mengesahkan kemusnahan anak patung asli yang digunakan untuk mempromosikan Star Fox klasik

Como mengurangkan sehingga tampung penuh digunakan

Langkah sementara ialah melumpuhkan modul algif_aead. Isso menghalang komponen yang terdedah daripada dimuatkan dalam kebanyakan senario.

• Crie fail /etc/modprobe.d/disable-algif.conf dengan kandungan: pasang algif_aead /bin/false
• Execute rmmod algif_aead untuk mengalih keluar modul jika ia dimuatkan

Konfigurasi Essa boleh menjejaskan aplikasi yang secara eksplisit bergantung pada modul penyulitan. Testes dalam persekitaran pementasan disyorkan sebelum digunakan dalam pengeluaran. Atualizações rasmi kekal sebagai penyelesaian muktamad.

Atualizações dikeluarkan oleh pengedaran

Pelancaran patch berlaku dalam cara yang diselaraskan antara penyelenggara utama. Debian dan Ubuntu telah menerbitkan kernel baharu dengan pengembalian yang diperlukan kepada tingkah laku di tempat algif_aead. SUSE mengikutinya dengan pakej yang dikemas kini.

Red Hat telah menyelaraskan panduannya selepas semakan dalaman. Komuniti Linux mengikuti proses pada senarai perbincangan dan forum teknikal. Pentadbir Muitos telah pun memulakan aplikasi pada pelayan kritikal.

Peningkatan baru-baru ini dalam laporan kerentanan berkaitan secara langsung dengan penggunaan alat AI dalam memburu pepijat. Programas seperti Internet Bug Bounty merekodkan jumlah penyerahan yang tinggi, yang membawa kepada pelarasan sementara pada proses penganugerahan.

Apakah perubahan untuk sysadmin Linux

Penemuan ini mengukuhkan keperluan untuk memastikan kernel dikemas kini, terutamanya pada infrastruktur yang dikongsi. Keselamatan Equipes kini menilai dengan lebih teliti modul kriptografi dan komponen kernel yang dimuatkan secara lalai.

Copy Fail menyerupai kesilapan sejarah seperti Dirty Cow dan Dirty Pipe, tetapi menonjol kerana kesederhanaan penerokaan dan keluasan skopnya. Public PoC memudahkan ujian, tetapi juga mempercepatkan potensi penyalahgunaan dalam persekitaran yang tidak ditambal.

Pesquisadores menganggarkan bahawa kebanyakan pemasangan yang aktif sejak 2017 memerlukan perhatian segera. Penyelarasan antara vendor mengehadkan tempoh pendedahan selepas pendedahan yang bertanggungjawab.