Kerentanan Copy Fail memungkinkan eskalasi untuk melakukan root pada distribusi Linux

Cacat logis dalam subsistem kriptografi kernel Linux memungkinkan pengguna lokal yang tidak memiliki hak istimewa untuk meningkatkan hak mereka ke tingkat root. Distribusi utama Desenvolvedores sudah mulai mendistribusikan patch untuk memperbaiki CVE-2026-31431, yang dikenal sebagai Copy Fail.

Masalahnya ada pada templat otentikasi, yang digunakan dalam operasi enkripsi yang diautentikasi. Ele memungkinkan untuk menulis empat byte terkontrol ke cache halaman dari file apa pun yang dapat dibaca. Perubahan Essa secara langsung mempengaruhi pemuatan kernel biner.

Teknisi kegagalan otentikasi Detalhes

Bug tersebut muncul dari perubahan yang diterapkan pada tahun 2017 pada modul algif_aead. Perubahan Essa mengizinkan halaman cache halaman tersedia untuk ditulis dalam skenario daftar sebar tertentu. Diferente Dari kerentanan klasik lainnya, Copy Fail tidak memerlukan kondisi balapan agar dapat berfungsi.

Pesquisadores dari Theori mengidentifikasi masalah tersebut dengan dukungan alat pemindaian berbasis AI. Bukti konsepnya adalah skrip Python dengan hanya 10 baris dan 732 byte. Ele memodifikasi biner setuid dan menjalankan kode dengan hak istimewa yang lebih tinggi pada sebagian besar distribusi yang dirilis sejak 2017.

• CVE-2026-31431 mendapat skor 7,8/10, tergolong tingkat keparahan tinggi
• Exploração berfungsi di lingkungan dan kontainer multi-penyewa dengan kernel bersama
• Cache bersama Page pada host memungkinkan potensi keluarnya kontainer Kubernetes
• Não dapat dieksploitasi dari jarak jauh secara terpisah, tetapi memperkuat vektor lainnya

Eksploitasi mengubah biner dalam memori tanpa memicu mekanisme deteksi berbasis peristiwa sistem file seperti inotify. Isso membuat pendeteksian menjadi lebih kompleks secara real-time.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

Impacto di lingkungan produksi dan kontainer

Sistemas yang menjalankan kode tidak tepercaya, seperti pelari CI/CD atau server bersama, lebih terekspos. Cache halaman bersama di tingkat host menimbulkan risiko pelepasan yang nyata di lingkungan dalam container.

Distribuições seperti Debian, Ubuntu dan SUSE telah menyediakan kernel yang diperbarui. Red Hat telah mengubah posisi penangguhan awalnya dan kini menawarkan patch yang sinkron dengan ekosistem. Vendor Outros, termasuk Fedora, juga telah mengonfirmasi perbaikan tersebut.

Administradores yang mengelola beberapa penyewa atau beban kerja pihak ketiga harus memprioritaskan peningkatan. Bug tersebut memperoleh visibilitas cepat setelah pengungkapan terkoordinasi.

Leia Também

EA Sports FC 26 hadir di PlayStation Plus bersama dengan Wuchang Fallen Feathers

Taruhan baru Capcom menghadirkan eksplorasi ruang angkasa dan manipulasi gravitasi ke konsol generasi berikutnya

Pembuatnya mengonfirmasi penghancuran boneka asli yang digunakan untuk mempromosikan Star Fox klasik

Mitigasi Como hingga patch penuh diterapkan

Tindakan sementara adalah menonaktifkan modul algif_aead. Isso mencegah pemuatan komponen yang rentan di sebagian besar skenario.

• Crie file /etc/modprobe.d/disable-algif.conf dengan isi: install algif_aead /bin/false
• Execute rmmod algif_aead untuk menghapus modul jika dimuat

Konfigurasi Essa dapat memengaruhi aplikasi yang secara eksplisit bergantung pada modul enkripsi. Testes di lingkungan pementasan direkomendasikan sebelum aplikasi dalam produksi. Atualizações resmi tetap menjadi solusi pasti.

Atualizações dirilis oleh distribusi

Peluncuran patch terjadi secara terkoordinasi antara pengelola utama. Debian dan Ubuntu telah menerbitkan kernel baru dengan kebutuhan untuk kembali ke perilaku algif_aead di tempat. SUSE mengikutinya dengan paket yang diperbarui.

Red Hat telah menyelaraskan panduannya setelah tinjauan internal. Komunitas Linux mengikuti proses di daftar diskusi dan forum teknis. Administrator Muitos telah memulai aplikasi pada server penting.

Peningkatan laporan kerentanan baru-baru ini berhubungan langsung dengan penggunaan alat AI dalam perburuan bug. Programas seperti Internet Bug Bounty mencatat tingginya volume pengiriman, yang menyebabkan penyesuaian sementara pada proses penghargaan.

Perubahan apa yang terjadi pada sysadmin Linux

Penemuan ini memperkuat kebutuhan untuk selalu memperbarui kernel, terutama pada infrastruktur bersama. Keamanan Equipes sekarang mengevaluasi lebih dekat modul kriptografi dan komponen kernel yang dimuat secara default.

Copy Fail menyerupai kesalahan historis seperti Dirty Cow dan Dirty Pipe, namun menonjol karena kesederhanaan eksplorasi dan luasnya cakupan. PoC publik memfasilitasi pengujian, namun juga mempercepat potensi penyalahgunaan di lingkungan yang belum ditambal.

Pesquisadores memperkirakan sebagian besar instalasi yang aktif sejak 2017 memerlukan perhatian segera. Koordinasi antar vendor membatasi periode paparan setelah pengungkapan yang bertanggung jawab.