Критическая ошибка в ядре Linux позволяет получить root-права

Логическая уязвимость в криптографической подсистеме ядра Linux позволяет непривилегированным локальным пользователям повысить свои права до корневого уровня. Уязвимость, обозначенная как CVE-2026-31431 и получившая прозвище Copy Fail, затрагивает дистрибутивы, выпущенные с 2017 года. Разработчики основных дистрибутивов уже распространили патчи для исправления проблемы. Эксплойт работает через скрипт Python длиной всего десять строк и 732 байта.

Технический механизм уязвимости Copy Fail

Ошибка находится в шаблоне аутентификацииn, компоненте, используемом в операциях шифрования с аутентификацией. Уязвимость позволяет локальным пользователям записывать четыре контролируемых байта в страничный кеш любого читаемого файла. Это изменение напрямую влияет на загрузку двоичных файлов ядром, создавая шлюз для повышения привилегий.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

Проблема возникла из-за изменения, реализованного в 2017 году в модуле algif_aad. Это изменение позволило сделать страницы кэша страниц доступными для записи в определенных сценариях списков разброса. В отличие от других классических уязвимостей, Copy Fail не требует для работы условий гонки, что значительно упрощает ее эксплуатацию.

Исследователи Theori выявили проблему с поддержкой инструментов сканирования на основе искусственного интеллекта. Эксплойт изменяет двоичный файл в памяти, не запуская механизмы обнаружения на основе событий файловой системы, такие как inotify. Это усложняет обнаружение в реальном времени.

Leia Tambem

Хиросима Карп подтвердила, что Токода встретится с Ниппон Хэм 3-го числа после того, как игра была перенесена из-за дождя

Старые, плохо обслуживаемые автомобили сталкиваются с проблемами при использовании бензина Е10.

Во вторник сильный дождь и штормы обрушились на 17 индийских штатов с предупреждением IMD.

Влияние на производственную среду и среду контейнеризации

• CVE-2026-31431 получил оценку 7,8 из 10, что соответствует высокой степени серьезности.
• Эксплуатация работает в мультитенантных средах и контейнерах с общим ядром.
• Общий кеш страниц на хосте допускает потенциальную утечку контейнеров Kubernetes.
• Изолированно его невозможно использовать удаленно, но он усиливает другие векторы атак.

Наибольшему риску подвергаются системы, на которых выполняется ненадежный код, например средства запуска CI/CD или общие серверы. Общий кэш страниц на уровне хоста представляет собой реальную угрозу побега в контейнерных средах. Администраторам, которые управляют несколькими арендаторами или сторонними рабочими нагрузками, следует уделить приоритетное внимание немедленному обновлению ядра.

В дистрибутивах уже есть исправленные патчи.

Debian, Ubuntu и SUSE уже предоставили обновленные ядра с исправлением. Red Hat изменила первоначальную позицию задержки и теперь предлагает патч, синхронизированный с экосистемой. Fedora также внесла исправление в свои репозитории. Выпуск исправлений происходит скоординировано между основными сопровождающими, при этом Debian и Ubuntu публикуют новые ядра с необходимым возвратом к поведению algif_aad на месте.

Сообщество Linux следит за процессом в дискуссионных списках и на технических форумах. Многие администраторы уже запустили приложение на критически важных серверах. Координация между поставщиками ограничила период воздействия после ответственного раскрытия сбоя.

Временные меры по смягчению последствий

Временной мерой является отключение модуля algif_aad, предотвращающего загрузку уязвимого компонента в большинстве сценариев. Администраторы могут создать файл /etc/modprobe.d/disable-algif.conf с содержимым install algif_aad /bin/false. После этого они должны запустить rmmod algif_aad, чтобы удалить модуль, если он загружен.

Этот параметр может повлиять на приложения, которые явно зависят от модуля шифрования. Перед применением в рабочей среде рекомендуется провести тестирование в промежуточной среде. Официальные обновления остаются окончательным и наиболее безопасным решением для полного устранения уязвимости.

Контекст открытия и перспективы на будущее

Copy Fail напоминает исторические провалы, такие как Dirty Cow и Dirty Pipe, но выделяется простотой исследования и широтой возможностей. Недавнее увеличение количества сообщений об уязвимостях напрямую связано с использованием инструментов искусственного интеллекта при поиске ошибок. По оценкам исследователей, большинство объектов, действующих с 2017 года, требуют немедленного внимания для обеспечения эксплуатационной безопасности.