Критична помилка в ядрі Linux дозволяє підвищувати привілеї root

Логічна вразливість у криптографічній підсистемі ядра Linux дозволяє непривілейованим локальним користувачам підвищити свої права до кореневого рівня. Identificada як CVE-2026-31431 і під псевдонімом Copy Fail, недолік впливає на дистрибутиви, випущені з 2017 року. Desenvolvedoras з основних дистрибутивів уже розповсюдив виправлення для вирішення проблеми. Експлойт працює через сценарій Python із лише десятьма рядками та 732 байтами.

Технічна вразливість Mecanismo Copy Fail

Помилка міститься в шаблоні authenticationsn, компоненті, який використовується в операціях шифрування з автентифікацією. Порушення дозволяє локальним користувачам записувати чотири контрольовані байти в кеш сторінок будь-якого читаного файлу. Зміна Essa безпосередньо впливає на завантаження двійкових файлів ядра, створюючи шлюз для підвищення привілеїв.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

Проблема виникла через зміни, внесені в 2017 році в модуль algif_aead. Зміни Essa дозволили зробити сторінки кешу сторінок доступними для запису в певних сценаріях розсіяного списку. Diferentemente На відміну від інших класичних уразливостей, Copy Fail не потребує умов гонки для функціонування, що значно спрощує її експлуатацію.

Pesquisadores з Theori виявив проблему за допомогою інструментів сканування на основі штучного інтелекту. Експлойт змінює двійковий файл у пам’яті, не запускаючи механізми виявлення подій файлової системи, такі як inotify. Isso робить виявлення більш складним у реальному часі.

Leia Tambem

Hiroshima Carp підтверджує Tokoda проти Nippon Ham 3 числа після того, як гру було відкладено через дощ

Старі автомобілі, які погано обслуговуються, стикаються з проблемами при використанні бензину E10

Цього вівторка сильні дощі та шторми обрушилися на 17 індійських штатів із попередженням IMD

Impacto у виробничих і контейнерних середовищах

• CVE-2026-31431 отримав оцінку 7,8 з 10, що класифікується як висока серйозність.
• Exploração працює в мультитенантних середовищах і контейнерах зі спільним ядром.
• Спільний кеш Page на хості дозволяє потенційно уникнути контейнерів Kubernetes.
• Não можна віддалено використовувати окремо, але посилює інші вектори атак.

Sistemas, які запускають ненадійний код, наприклад програми CI/CD або спільні сервери, піддаються більшому ризику. Спільний кеш сторінок на рівні хоста створює конкретну загрозу втечі в контейнерних середовищах. Administradores, які керують декількома клієнтами або робочими навантаженнями сторонніх розробників, повинні надавати пріоритет негайному оновленню ядра.

Distribuições тепер пропонує виправлені патчі

Debian, Ubuntu і SUSE вже зробили доступними оновлені ядра з виправленням. Red Hat змінив свою початкову позицію відстрочки і тепер пропонує патч, синхронізований з екосистемою. Fedora також розмістив виправлення у своїх репозиторіях. Розгортання виправлень відбувається узгоджено між основними розробниками, при цьому Debian і Ubuntu публікують нові ядра з необхідним поверненням до поведінки на місці algif_aead.

Спільнота Linux стежить за процесом у списках обговорень і на технічних форумах. Адміністратори Muitos вже запустили програму на критичних серверах. Координація між постачальниками обмежила період впливу після відповідального розкриття збою.

Тимчасове пом’якшення Medidas

Тимчасовим заходом є відключення модуля algif_aead, що запобігає завантаженню вразливого компонента в більшості сценаріїв. Administradores може створити файл /etc/modprobe.d/disable-algif.conf з інсталяцією вмісту algif_aead /bin/false. Após це, ви повинні виконати rmmod algif_aead, щоб видалити модуль, якщо він завантажений.

Конфігурація Essa може впливати на програми, які явно залежать від модуля шифрування. Testes у проміжних середовищах рекомендується перед застосуванням у виробництві. Офіційний Atualizações залишається остаточним і найбезпечнішим рішенням для повного усунення вразливості.

Відкриття Contexto і майбутні перспективи

Copy Fail нагадує історичні розломи, такі як Dirty Cow і Dirty Pipe, але виділяється своєю простотою дослідження та широтою охоплення. Нещодавнє збільшення кількості повідомлень про вразливості безпосередньо пов’язане з використанням інструментів штучного інтелекту під час полювання на помилок. За оцінками Pesquisadores, більшість установок, активних з 2017 року, вимагають негайної уваги для підтримки безпеки експлуатації.