Uma falha lógica no subsistema criptográfico do kernel Linux permite que usuários locais sem privilégios elevem seus direitos até o nível root. Desenvolvedores das principais distribuições já começaram a distribuir patches para corrigir o CVE-2026-31431, conhecido como Copy Fail.
O problema está no template authencesn, usado em operações de criptografia autenticada. Ele possibilita a escrita de quatro bytes controlados no page cache de qualquer arquivo legível. Essa alteração afeta diretamente o carregamento de binários pelo kernel.
Detalhes técnicos da falha no authencesn
O bug surgiu de uma mudança implementada em 2017 no módulo algif_aead. Essa alteração permitiu que páginas do page cache ficassem disponíveis para escrita em determinados cenários de scatterlist. Diferente de outras vulnerabilidades clássicas, o Copy Fail não exige condições de corrida para funcionar.
Pesquisadores da Theori identificaram o problema com suporte de ferramentas de varredura baseadas em IA. O proof of concept é um script Python com apenas 10 linhas e 732 bytes. Ele modifica binários setuid e executa código com privilégios elevados na maioria das distribuições lançadas desde 2017.
- CVE-2026-31431 recebeu nota 7.8/10, classificada como alta gravidade
- Exploração funciona em ambientes multi-tenant e containers com kernel compartilhado
- Page cache compartilhado no host permite potencial escape de containers Kubernetes
- Não é explorável remotamente de forma isolada, mas amplifica outros vetores
O exploit altera o binário na memória sem acionar mecanismos de detecção baseados em eventos do sistema de arquivos, como inotify. Isso torna a detecção mais complexa em tempo real.
Impacto em ambientes de produção e containers
Sistemas que executam código não confiável, como runners de CI/CD ou servidores compartilhados, estão mais expostos. O page cache compartilhado no nível do host representa um risco concreto de escape em ambientes de contêineres.
Distribuições como Debian, Ubuntu e SUSE já disponibilizaram kernels atualizados. A Red Hat mudou sua posição inicial de adiamento e agora oferece o patch em sincronia com o ecossistema. Outros fornecedores, incluindo Fedora, também confirmaram a correção.
Administradores que gerenciam múltiplos tenants ou workloads de terceiros devem priorizar a atualização. O bug ganhou visibilidade rápida após a divulgação coordenada.
Como mitigar até a aplicação do patch completo
Uma medida temporária consiste em desabilitar o módulo algif_aead. Isso impede o carregamento do componente vulnerável na maioria dos cenários.
- Crie o arquivo /etc/modprobe.d/disable-algif.conf com o conteúdo: install algif_aead /bin/false
- Execute rmmod algif_aead para remover o módulo caso esteja carregado
Essa configuração pode afetar aplicações que dependem explicitamente do módulo de criptografia. Testes em ambientes de staging são recomendados antes da aplicação em produção. Atualizações oficiais permanecem a solução definitiva.
Atualizações liberadas pelas distribuições
O rollout dos patches ocorre de forma coordenada entre os principais mantenedores. Debian e Ubuntu publicaram novos kernels com o revert necessário no comportamento in-place do algif_aead. SUSE seguiu o mesmo caminho com pacotes atualizados.
Red Hat alinhou sua orientação após revisão interna. A comunidade Linux acompanha o processo em listas de discussão e fóruns técnicos. Muitos administradores já iniciaram a aplicação em servidores críticos.
O aumento recente de relatórios de vulnerabilidades tem relação direta com o uso de ferramentas de IA na caça a bugs. Programas como o Internet Bug Bounty registraram volume elevado de submissões, o que levou a ajustes temporários nos processos de premiação.
O que muda para administradores de sistemas Linux
A descoberta reforça a necessidade de manter kernels atualizados, especialmente em infraestruturas compartilhadas. Equipes de segurança agora avaliam com mais atenção módulos criptográficos e componentes do kernel carregados por padrão.
O Copy Fail se assemelha a falhas históricas como Dirty Cow e Dirty Pipe, mas se destaca pela simplicidade de exploração e amplitude de alcance. O PoC público facilita testes, mas também acelera possíveis abusos em ambientes não corrigidos.
Pesquisadores estimam que a maioria das instalações ativas desde 2017 requer atenção imediata. A coordenação entre vendors limitou o período de exposição após a divulgação responsável.