Логічна вразливість у криптографічній підсистемі ядра Linux дозволяє непривілейованим локальним користувачам підвищити свої права до кореневого рівня. Identificada як CVE-2026-31431 і під псевдонімом Copy Fail, недолік впливає на дистрибутиви, випущені з 2017 року. Desenvolvedoras з основних дистрибутивів уже розповсюдив виправлення для вирішення проблеми. Експлойт працює через сценарій Python із лише десятьма рядками та 732 байтами.
Технічна вразливість Mecanismo Copy Fail
Помилка міститься в шаблоні authenticationsn, компоненті, який використовується в операціях шифрування з автентифікацією. Порушення дозволяє локальним користувачам записувати чотири контрольовані байти в кеш сторінок будь-якого читаного файлу. Зміна Essa безпосередньо впливає на завантаження двійкових файлів ядра, створюючи шлюз для підвищення привілеїв.
https://twitter.com/DarkWebInformer/status/2049579219190165658?ref_src=twsrc%5Etfw
Проблема виникла через зміни, внесені в 2017 році в модуль algif_aead. Зміни Essa дозволили зробити сторінки кешу сторінок доступними для запису в певних сценаріях розсіяного списку. Diferentemente На відміну від інших класичних уразливостей, Copy Fail не потребує умов гонки для функціонування, що значно спрощує її експлуатацію.
Pesquisadores з Theori виявив проблему за допомогою інструментів сканування на основі штучного інтелекту. Експлойт змінює двійковий файл у пам’яті, не запускаючи механізми виявлення подій файлової системи, такі як inotify. Isso робить виявлення більш складним у реальному часі.
Impacto у виробничих і контейнерних середовищах
- CVE-2026-31431 отримав оцінку 7,8 з 10, що класифікується як висока серйозність.
- Exploração працює в мультитенантних середовищах і контейнерах зі спільним ядром.
- Спільний кеш Page на хості дозволяє потенційно уникнути контейнерів Kubernetes.
- Não можна віддалено використовувати окремо, але посилює інші вектори атак.
Sistemas, які запускають ненадійний код, наприклад програми CI/CD або спільні сервери, піддаються більшому ризику. Спільний кеш сторінок на рівні хоста створює конкретну загрозу втечі в контейнерних середовищах. Administradores, які керують декількома клієнтами або робочими навантаженнями сторонніх розробників, повинні надавати пріоритет негайному оновленню ядра.
Distribuições тепер пропонує виправлені патчі
Debian, Ubuntu і SUSE вже зробили доступними оновлені ядра з виправленням. Red Hat змінив свою початкову позицію відстрочки і тепер пропонує патч, синхронізований з екосистемою. Fedora також розмістив виправлення у своїх репозиторіях. Розгортання виправлень відбувається узгоджено між основними розробниками, при цьому Debian і Ubuntu публікують нові ядра з необхідним поверненням до поведінки на місці algif_aead.
Спільнота Linux стежить за процесом у списках обговорень і на технічних форумах. Адміністратори Muitos вже запустили програму на критичних серверах. Координація між постачальниками обмежила період впливу після відповідального розкриття збою.
Тимчасове пом’якшення Medidas
Тимчасовим заходом є відключення модуля algif_aead, що запобігає завантаженню вразливого компонента в більшості сценаріїв. Administradores може створити файл /etc/modprobe.d/disable-algif.conf з інсталяцією вмісту algif_aead /bin/false. Após це, ви повинні виконати rmmod algif_aead, щоб видалити модуль, якщо він завантажений.
Конфігурація Essa може впливати на програми, які явно залежать від модуля шифрування. Testes у проміжних середовищах рекомендується перед застосуванням у виробництві. Офіційний Atualizações залишається остаточним і найбезпечнішим рішенням для повного усунення вразливості.
Відкриття Contexto і майбутні перспективи
Copy Fail нагадує історичні розломи, такі як Dirty Cow і Dirty Pipe, але виділяється своєю простотою дослідження та широтою охоплення. Нещодавнє збільшення кількості повідомлень про вразливості безпосередньо пов’язане з використанням інструментів штучного інтелекту під час полювання на помилок. За оцінками Pesquisadores, більшість установок, активних з 2017 року, вимагають негайної уваги для підтримки безпеки експлуатації.