Vulnerabilitatea Copy Fail permite escaladarea la root pe distribuțiile Linux

Un defect logic în subsistemul criptografic al nucleului Linux permite utilizatorilor locali neprivilegiati să-și ridice drepturile la nivelul rădăcină. Distribuțiile majore Desenvolvedores au început deja să distribuie patch-uri pentru a remedia CVE-2026-31431, cunoscut sub numele de Copy Fail.

Problema este în șablonul authenticationsn, utilizat în operațiunile de criptare autentificate. Ele face posibilă scrierea a patru octeți controlați în memoria cache a paginii a oricărui fișier care poate fi citit. Modificarea Essa afectează direct încărcarea nucleului a binarelor.

Detalhes tehnicieni de eșec de autentificare

Bug-ul a apărut dintr-o modificare implementată în 2017 în modulul algif_aead. Modificarea Essa a permis ca paginile din memoria cache să fie disponibile pentru scriere în anumite scenarii de tip scatterlist. Diferente Dintre alte vulnerabilități clasice, Copy Fail nu necesită condiții de cursă pentru a funcționa.

Pesquisadores de la Theori a identificat problema cu suportul instrumentelor de scanare bazate pe AI. Dovada conceptului este un script Python cu doar 10 linii și 732 de octeți. Ele modifică fișierele binare setuid și rulează cod cu privilegii ridicate pe majoritatea distribuțiilor lansate începând cu 2017.

• CVE-2026-31431 a primit un scor de 7,8/10, clasificat ca gravitate mare
• Exploração funcționează în medii multi-chiriași și containere cu nucleu partajat
• Cache-ul partajat Page pe gazdă permite scăparea potențială a containerelor Kubernetes
• Não este exploatabil de la distanță în mod izolat, dar amplifică alți vectori

Exploita-ul modifică binarul din memorie fără a declanșa mecanisme de detectare bazate pe evenimente ale sistemului de fișiere, cum ar fi inotify. Isso face detectarea mai complexă în timp real.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

Impacto în medii de producție și containere

Sistemas care rulează cod neîncrezut, cum ar fi aplicațiile CI/CD sau serverele partajate, sunt mai expuse. Cache-ul de pagină partajat la nivel de gazdă prezintă un risc concret de evadare în mediile containerizate.

Distribuições precum Debian, Ubuntu și SUSE au pus deja la dispoziție nucleele actualizate. Red Hat și-a schimbat poziția inițială de amânare și oferă acum patch-ul în sincronizare cu ecosistemul. Furnizorii Outros, inclusiv Fedora, au confirmat de asemenea remedierea.

Administradores care gestionează mai mulți chiriași sau sarcini de lucru terță parte ar trebui să acorde prioritate upgrade-ului. Bug-ul a câștigat vizibilitate rapidă după dezvăluirea coordonată.

Leia Também

Dezvăluire oficială: Terry Crews devine un operator jucabil în Black Ops 7 și Warzone în următoarea actualizare

Un incendiu violent din Portland a rănit trei pompieri și a distrus o casă din cartierul Belmont din SUA

Posesorii de PlayStation 5 pot valorifica trei jocuri noi gratuit, fără a avea nevoie de un plan PS Plus

Como atenuează până când se aplică patch-ul complet

O măsură temporară este dezactivarea modulului algif_aead. Isso împiedică încărcarea componentei vulnerabile în majoritatea scenariilor.

• Crie fișierul /etc/modprobe.d/disable-algif.conf cu conținutul: instalează algif_aead /bin/false
• Execute rmmod algif_aead pentru a elimina modulul dacă este încărcat

Configurația Essa poate afecta aplicațiile care depind în mod explicit de modulul de criptare. Se recomandă Testes în medii de realizare înainte de aplicarea în producție. Atualizações oficial rămâne soluția definitivă.

Atualizações lansat de distribuții

Lansarea corecțiilor are loc într-o manieră coordonată între menținătorii principali. Debian și Ubuntu au publicat nuclee noi cu revenirea necesară la comportamentul pe loc al algif_aead. SUSE a urmat exemplul cu pachete actualizate.

Red Hat și-a aliniat îndrumările după evaluarea internă. Comunitatea Linux urmează procesul pe listele de discuții și forumurile tehnice. Administratorii Muitos au pornit deja aplicația pe servere critice.

Creșterea recentă a rapoartelor de vulnerabilitate este direct legată de utilizarea instrumentelor AI în vânătoarea de erori. Programas ca și Internet Bug Bounty au înregistrat un volum mare de depuneri, ceea ce a dus la ajustări temporare ale proceselor de atribuire.

Ce se schimbă pentru administratorii de sistem Linux

Descoperirea întărește nevoia de a menține kernel-urile la zi, în special pe infrastructurile partajate. Securitatea Equipes evaluează acum mai îndeaproape modulele criptografice și componentele kernelului încărcate implicit.

Copy Fail seamănă cu erorile istorice, cum ar fi Dirty Cow și Dirty Pipe, dar se remarcă prin simplitatea explorării și amploarea domeniului de aplicare. Public PoC facilitează testarea, dar accelerează și potențialul abuz în medii nepatchate.

Pesquisadores estimează că majoritatea instalațiilor active din 2017 necesită o atenție imediată. Coordonarea dintre furnizori a limitat perioada de expunere după dezvăluirea responsabilă.