La vulnerabilità Copy Fail consente l’escalation al root sulle distribuzioni Linux

Un difetto logico nel sottosistema crittografico del kernel Linux consente agli utenti locali non privilegiati di elevare i propri diritti al livello root. Le principali distribuzioni Desenvolvedores hanno già iniziato a distribuire patch per correggere CVE-2026-31431, noto come Copy Fail.

Il problema è nel modello di autenticazione, utilizzato nelle operazioni di crittografia autenticate. Ele consente di scrivere quattro byte controllati nella cache della pagina di qualsiasi file leggibile. La modifica di Essa influisce direttamente sul caricamento dei file binari nel kernel.

Tecnici di errore di autenticazione Detalhes

Il bug è nato da una modifica implementata nel 2017 nel modulo algif_aead. La modifica di Essa ha consentito alle pagine della cache delle pagine di essere disponibili per la scrittura in determinati scenari di elenchi scatter. Diferente A differenza delle altre vulnerabilità classiche, Copy Fail non richiede condizioni di competizione per funzionare.

Pesquisadores di Theori ha identificato il problema con il supporto di strumenti di scansione basati sull’intelligenza artificiale. La prova del concetto è uno script Python con solo 10 righe e 732 byte. Ele modifica i binari setuid ed esegue codice con privilegi elevati sulla maggior parte delle distribuzioni rilasciate dal 2017.

• CVE-2026-31431 ha ricevuto un punteggio di 7,8/10, classificato come di gravità elevata
• Exploração funziona in ambienti multi-tenant e contenitori con kernel condiviso
• La cache condivisa Page sull’host consente la potenziale fuga dei contenitori Kubernetes
• Não è sfruttabile da remoto in isolamento, ma amplifica altri vettori

L’exploit altera il file binario in memoria senza attivare meccanismi di rilevamento basati sugli eventi del file system come inotify. Isso rende il rilevamento più complesso in tempo reale.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

Impacto in ambienti di produzione e container

Sistemas che eseguono codice non attendibile, come runner CI/CD o server condivisi, sono più esposti. La cache delle pagine condivise a livello di host rappresenta un concreto rischio di fuga negli ambienti containerizzati.

Distribuições come Debian, Ubuntu e SUSE hanno già reso disponibili kernel aggiornati. Red Hat ha cambiato la sua posizione di differimento iniziale e ora offre la patch in sincronia con l’ecosistema. Anche i fornitori di Outros, incluso Fedora, hanno confermato la correzione.

Administradores che gestisce più tenant o carichi di lavoro di terze parti dovrebbe dare priorità all’aggiornamento. Il bug ha ottenuto una rapida visibilità dopo una divulgazione coordinata.

Leia Também

Dormire senza vestiti migliora la qualità del sonno, afferma l’esperto di ricerca

Nikola Jokic crea confusione con Jaylen Clark nella sconfitta dei Nuggets e nella caduta nei playoff NBA

GP F1 Miami: tutto sulle prime prove libere e sul ritorno in pista di Gabriel Bortoleto

Como mitigazione fino all’applicazione della patch completa

Una misura temporanea è disabilitare il modulo algif_aead. Isso impedisce il caricamento del componente vulnerabile nella maggior parte degli scenari.

• Crie il file /etc/modprobe.d/disable-algif.conf con il contenuto: install algif_aead /bin/false
• Execute rmmod algif_aead per rimuovere il modulo se è caricato

La configurazione di Essa può influire sulle applicazioni che dipendono esplicitamente dal modulo di crittografia. Si consiglia di utilizzare Testes in ambienti di staging prima dell’applicazione in produzione. Gli Atualizações ufficiali rimangono la soluzione definitiva.

Atualizações rilasciato dalle distribuzioni

Il lancio delle patch avviene in modo coordinato tra i principali manutentori. Debian e Ubuntu hanno pubblicato nuovi kernel con il ripristino richiesto al comportamento sul posto di algif_aead. SUSE ha seguito l’esempio con pacchetti aggiornati.

Red Hat ha allineato le proprie linee guida dopo una revisione interna. La comunità Linux segue il processo su elenchi di discussione e forum tecnici. Gli amministratori di Muitos hanno già avviato l’applicazione sui server critici.

Il recente aumento delle segnalazioni di vulnerabilità è direttamente correlato all’uso di strumenti di intelligenza artificiale nella caccia ai bug. Programas come Internet Bug Bounty ha registrato un elevato volume di iscrizioni, che ha portato ad aggiustamenti temporanei ai processi di aggiudicazione.

Cosa cambia per gli amministratori di sistema Linux

La scoperta rafforza la necessità di mantenere aggiornati i kernel, soprattutto sulle infrastrutture condivise. Sicurezza Equipes ora valuta più da vicino i moduli crittografici e i componenti del kernel caricati per impostazione predefinita.

Copy Fail assomiglia a faglie storiche come Dirty Cow e Dirty Pipe, ma si distingue per la semplicità di esplorazione e l’ampiezza del campo di applicazione. Il PoC pubblico facilita i test, ma accelera anche i potenziali abusi in ambienti privi di patch.

Pesquisadores stima che la maggior parte delle installazioni attive dal 2017 richiedano attenzione immediata. Il coordinamento tra i fornitori ha limitato il periodo di esposizione dopo la divulgazione responsabile.