Критичен пропуск в ядрото на Linux позволява повишаване на привилегиите за root

Логическа уязвимост в криптографската подсистема на ядрото Linux позволява на непривилегировани локални потребители да повишат правата си до ниво root. Identificada като CVE-2026-31431 и с псевдоним Copy Fail, пропускът засяга дистрибуции, пуснати след 2017 г. Desenvolvedoras от основните дистрибуции вече са разпространили корекции за коригиране на проблема. Експлойтът работи чрез скрипт Python само с десет реда и 732 байта.

Mecanismo техническа уязвимост Copy Fail

Грешката се намира в шаблона authenticationsn, компонент, използван при удостоверени операции за криптиране. Пропускът позволява на локалните потребители да записват четири контролирани байта в кеша на страниците на всеки четим файл. Промяната на Essa пряко засяга зареждането на двоичните файлове в ядрото, създавайки шлюз за ескалация на привилегии.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

Проблемът произтича от промяна, въведена през 2017 г. в модула algif_aead. Промяната на Essa позволи на страниците в кеша на страниците да бъдат достъпни за запис в определени сценарии на scatterlist. Diferentemente За разлика от други класически уязвимости, Copy Fail не изисква условия на състезание, за да функционира, което значително опростява неговата експлоатация.

Pesquisadores от Theori идентифицира проблема с поддръжката на инструменти за сканиране, базирани на изкуствен интелект. Експлойтът променя двоичния файл в паметта, без да задейства механизми за откриване на събития, базирани на файловата система, като inotify. Isso прави откриването по-сложно в реално време.

Leia Tambem

Hiroshima Carp потвърдиха Tokoda срещу Nippon Ham на 3-ти след мач, отложен поради дъжд

По-старите, зле поддържани превозни средства се сблъскват с проблеми при използване на бензин E10

Проливен дъжд и бури удариха 17 индийски щата този вторник с предупреждение от IMD

Impacto в среда за производство и контейнеризация

• CVE-2026-31431 получи резултат от 7,8 от 10, класифициран като висока тежест.
• Exploração работи в среди с множество клиенти и контейнери със споделено ядро.
• Page споделеният кеш на хоста позволява потенциално бягство на Kubernetes контейнери.
• Não може да се използва дистанционно изолирано, но усилва други вектори на атака.

Sistemas, които изпълняват ненадежден код, като CI/CD runners или споделени сървъри, са изложени на по-голям риск. Споделеният кеш на страници на ниво хост представлява конкретна заплаха за бягство в контейнеризирани среди. Administradores, които управляват множество клиенти или работни натоварвания на трети страни, трябва да дадат приоритет на незабавното надграждане на ядрото.

Distribuições вече предлага коригирани корекции

Debian, Ubuntu и SUSE вече направиха актуализирани ядра налични с корекцията. Red Hat промени първоначалната си позиция за отлагане и сега предлага корекцията в синхрон с екосистемата. Fedora също е ангажирал корекцията в своите хранилища. Внедряването на корекцията се извършва по координиран начин между основните поддържащи, като Debian и Ubuntu публикуват нови ядра с необходимото връщане към поведението на място на algif_aead.

Общността на Linux следва процеса в дискусионни списъци и технически форуми. Администраторите на Muitos вече са стартирали приложението на критични сървъри. Координацията между доставчиците ограничи периода на експозиция след отговорно разкриване на повредата.

Временно смекчаване Medidas

Временна мярка е да деактивирате модула algif_aead, предотвратявайки зареждането на уязвимия компонент в повечето сценарии. Administradores може да създаде файла /etc/modprobe.d/disable-algif.conf с инсталацията на съдържанието algif_aead /bin/false. Após това, трябва да изпълните rmmod algif_aead, за да премахнете модула, ако е зареден.

Essa конфигурацията може да засегне приложения, които изрично зависят от модула за криптиране. Testes в сценични среди се препоръчват преди прилагане в производството. Официалният Atualizações остава окончателното и най-сигурното решение за пълно разрешаване на уязвимостта.

Откриване на Contexto и бъдещи перспективи

Copy Fail наподобява исторически грешки като Dirty Cow и Dirty Pipe, но се откроява с простотата си на изследване и широчината на обхвата. Скорошното увеличение на докладите за уязвимости е пряко свързано с използването на инструменти за изкуствен интелект при лов на грешки. Pesquisadores изчислява, че по-голямата част от инсталациите, активни от 2017 г., изискват незабавно внимание за поддържане на оперативната безопасност.