La vulnerabilidad Copy Fail permite escalar a root en distribuciones de Linux

Una falla lógica en el subsistema criptográfico del kernel Linux permite a los usuarios locales sin privilegios elevar sus derechos al nivel raíz. Las principales distribuciones de Desenvolvedores ya han comenzado a distribuir parches para solucionar CVE-2026-31431, conocido como Copy Fail.

El problema está en la plantilla de autenticación, utilizada en operaciones de cifrado autenticadas. Ele permite escribir cuatro bytes controlados en la caché de páginas de cualquier archivo legible. El cambio de Essa afecta directamente la carga de binarios del kernel.

Técnicos de fallos de autenticación Detalhes

El error surgió de un cambio implementado en 2017 en el módulo algif_aead. El cambio Essa permitió que las páginas de caché de páginas estuvieran disponibles para escritura en ciertos escenarios de listas de dispersión. Diferente De otras vulnerabilidades clásicas, Copy Fail no requiere condiciones de carrera para funcionar.

Pesquisadores de Theori identificó el problema con el soporte de herramientas de escaneo basadas en IA. La prueba de concepto es un script Python con sólo 10 líneas y 732 bytes. Ele modifica los binarios setuid y ejecuta código con privilegios elevados en la mayoría de las distribuciones lanzadas desde 2017.

• CVE-2026-31431 recibió una puntuación de 7,8/10, clasificado como de gravedad alta
• Exploração funciona en entornos multiinquilino y contenedores con kernel compartido
• La caché compartida Page en el host permite un posible escape de los contenedores Kubernetes
• Não se puede explotar de forma remota de forma aislada, pero amplifica otros vectores

El exploit altera el binario en la memoria sin activar mecanismos de detección basados ​​en eventos del sistema de archivos como inotify. Isso hace que la detección sea más compleja en tiempo real.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

Impacto en entornos de producción y contenedores

Los Sistemas que ejecutan código que no es de confianza, como ejecutores de CI/CD o servidores compartidos, están más expuestos. La caché de páginas compartida a nivel de host plantea un riesgo de escape concreto en entornos en contenedores.

Distribuições como Debian, Ubuntu y SUSE ya han puesto a disposición kernels actualizados. Red Hat ha cambiado su posición de aplazamiento inicial y ahora ofrece el parche en sincronía con el ecosistema. Los proveedores de Outros, incluido Fedora, también han confirmado la solución.

Administradores que administran múltiples inquilinos o cargas de trabajo de terceros deben priorizar la actualización. El error ganó rápidamente visibilidad después de una divulgación coordinada.

Leia Também

EA Sports FC 26 llega a PlayStation Plus junto con Wuchang Fallen Feathers

La aventura espacial de Capcom llega en abril de 2026 con versiones para nueva generación y Switch 2

Nintendo define lanzamiento de consola de nueva generación con recreación completa del clásico Zelda

Mitigación de Como hasta que se aplique el parche completo

Una medida temporal es desactivar el módulo algif_aead. Isso evita que el componente vulnerable se cargue en la mayoría de los escenarios.

• Crie el archivo /etc/modprobe.d/disable-algif.conf con el contenido: install algif_aead /bin/false
• Execute rmmod algif_aead para eliminar el módulo si está cargado

La configuración de Essa puede afectar aplicaciones que dependen explícitamente del módulo de cifrado. Se recomienda Testes en entornos de prueba antes de su aplicación en producción. Los Atualizações oficiales siguen siendo la solución definitiva.

Atualizações liberado por distribuciones

La implementación del parche se produce de manera coordinada entre los mantenedores principales. Debian y Ubuntu han publicado nuevos kernels con el requisito de volver al comportamiento local de algif_aead. SUSE hizo lo mismo con paquetes actualizados.

Red Hat ha alineado sus directrices después de una revisión interna. La comunidad Linux sigue el proceso en listas de discusión y foros técnicos. Los administradores de Muitos ya iniciaron la aplicación en servidores críticos.

El reciente aumento de informes de vulnerabilidad está directamente relacionado con el uso de herramientas de inteligencia artificial en la búsqueda de errores. Programas como Internet Bug Bounty registraron un gran volumen de presentaciones, lo que llevó a ajustes temporales en los procesos de adjudicación.

Qué cambios para los administradores de sistemas Linux

El descubrimiento refuerza la necesidad de mantener los núcleos actualizados, especialmente en infraestructuras compartidas. Seguridad Equipes ahora evalúa más de cerca los módulos criptográficos y los componentes del kernel cargados de forma predeterminada.

Copy Fail se asemeja a fallas históricas como Dirty Cow y Dirty Pipe, pero destaca por su simplicidad de exploración y amplitud de alcance. La PoC pública facilita las pruebas, pero también acelera el posible abuso en entornos sin parches.

Pesquisadores estima que la mayoría de las instalaciones activas desde 2017 requieren atención inmediata. La coordinación entre proveedores limitó el período de exposición después de la divulgación responsable.