लिनक्स कर्नेल में गंभीर दोष विशेषाधिकारों को रूट तक बढ़ाने की अनुमति देता है

द्वारा Redação Mix Vale • ८ मई २०२६ • 1 min de leitura

WhatsApp Twitter Facebook Seguir no Google E-mail

Foto: Linux e teclado - FAMArtPhotography/shutterstock.com

लिनक्स कर्नेल के क्रिप्टोग्राफ़िक सबसिस्टम में एक तार्किक भेद्यता वंचित स्थानीय उपयोगकर्ताओं को अपने अधिकारों को रूट स्तर तक बढ़ाने की अनुमति देती है। CVE-2026-31431 के रूप में पहचाना गया और कॉपी फेल उपनाम दिया गया, यह दोष 2017 से जारी वितरण को प्रभावित करता है। मुख्य वितरण के डेवलपर्स ने समस्या को ठीक करने के लिए पहले ही पैच वितरित कर दिए हैं। शोषण केवल दस पंक्तियों और 732 बाइट्स के साथ पायथन स्क्रिप्ट के माध्यम से काम करता है।

कॉपी विफल भेद्यता का तकनीकी तंत्र

बग प्रमाणीकरण टेम्पलेट में रहता है, जो प्रमाणित एन्क्रिप्शन संचालन में उपयोग किया जाने वाला एक घटक है। यह दोष स्थानीय उपयोगकर्ताओं को किसी भी पढ़ने योग्य फ़ाइल के पेज कैश में चार नियंत्रित बाइट्स लिखने की अनुमति देता है। यह परिवर्तन सीधे तौर पर कर्नेल द्वारा बायनेरिज़ की लोडिंग को प्रभावित करता है, जिससे विशेषाधिकार वृद्धि के लिए एक प्रवेश द्वार बनता है।

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

समस्या 2017 में algif_aad मॉड्यूल में लागू किए गए बदलाव से उत्पन्न हुई। इस परिवर्तन ने पेज कैश पेजों को कुछ स्कैटरलिस्ट परिदृश्यों में लिखने के लिए उपलब्ध होने की अनुमति दी। अन्य क्लासिक कमजोरियों के विपरीत, कॉपी फेल को काम करने के लिए दौड़ की स्थिति की आवश्यकता नहीं होती है, जिससे इसका शोषण काफी सरल हो जाता है।

थियोरी शोधकर्ताओं ने कृत्रिम बुद्धिमत्ता-आधारित स्कैनिंग टूल के समर्थन से समस्या की पहचान की। शोषण फ़ाइल सिस्टम इवेंट-आधारित डिटेक्शन तंत्र जैसे इनोटिफाई को ट्रिगर किए बिना मेमोरी में बाइनरी को बदल देता है। इससे वास्तविक समय में पता लगाना अधिक जटिल हो जाता है।

उत्पादन और कंटेनरीकरण वातावरण पर प्रभाव

सीवीई-2026-31431 को 10 में से 7.8 का स्कोर प्राप्त हुआ, जिसे उच्च गंभीरता के रूप में वर्गीकृत किया गया है।
शोषण बहु-किरायेदार वातावरण और साझा कर्नेल वाले कंटेनरों में काम करता है।
होस्ट पर साझा पेज कैश कुबेरनेट्स कंटेनरों के संभावित रिसाव की अनुमति देता है।
इसे अलग-थलग करके दूर से शोषण योग्य नहीं है, लेकिन यह अन्य आक्रमण वैक्टरों को बढ़ाता है।

जो सिस्टम अविश्वसनीय कोड चलाते हैं, जैसे सीआई/सीडी रनर या साझा सर्वर, वे सबसे अधिक जोखिम में हैं। होस्ट-स्तरीय साझा पेज कैश कंटेनरीकृत वातावरण में एक ठोस भागने का खतरा पैदा करता है। जो प्रशासक एकाधिक किरायेदारों या तृतीय-पक्ष कार्यभार का प्रबंधन करते हैं, उन्हें कर्नेल को तुरंत अद्यतन करने को प्राथमिकता देनी चाहिए।

वितरण पहले से ही सही पैच प्रदान करते हैं

डेबियन, उबंटू और एसयूएसई ने पहले ही अपडेटेड कर्नेल को फिक्स के साथ उपलब्ध करा दिया है। रेड हैट ने देरी की अपनी प्रारंभिक स्थिति बदल दी है और अब पारिस्थितिकी तंत्र के साथ समन्वय में पैच की पेशकश कर रहा है। फेडोरा ने अपने रिपॉजिटरी को ठीक करने का भी वादा किया। पैच का रोलआउट मुख्य अनुरक्षकों के बीच समन्वित तरीके से होता है, जिसमें डेबियन और उबंटू algif_aad के इन-प्लेस व्यवहार के लिए आवश्यक रिवर्ट के साथ नए कर्नेल प्रकाशित करते हैं।

लिनक्स समुदाय चर्चा सूचियों और तकनीकी मंचों पर प्रक्रिया का पालन करता है। कई प्रशासकों ने पहले ही महत्वपूर्ण सर्वर पर एप्लिकेशन शुरू कर दिया है। विक्रेताओं के बीच समन्वय ने विफलता के जिम्मेदार प्रकटीकरण के बाद जोखिम की अवधि को सीमित कर दिया।

अस्थायी शमन उपाय

एक अस्थायी उपाय algif_aad मॉड्यूल को अक्षम करना है, जिससे अधिकांश परिदृश्यों में कमजोर घटक को लोड होने से रोका जा सके। प्रशासक /etc/modprobe.d/disable-algif.conf सामग्री के साथ फ़ाइल बना सकते हैं, algif_aeaad /bin/false इंस्टॉल कर सकते हैं। उसके बाद, यदि मॉड्यूल लोड है तो उन्हें हटाने के लिए उन्हें rmmod algif_aad चलाना होगा।

यह सेटिंग उन अनुप्रयोगों को प्रभावित कर सकती है जो स्पष्ट रूप से एन्क्रिप्शन मॉड्यूल पर निर्भर हैं। उत्पादन में आवेदन से पहले स्टेजिंग वातावरण में परीक्षण की सिफारिश की जाती है। भेद्यता को पूरी तरह से हल करने के लिए आधिकारिक अपडेट ही निश्चित और सबसे सुरक्षित समाधान है।

खोज संदर्भ और भविष्य के दृष्टिकोण

कॉपी फ़ेल, डर्टी काउ और डर्टी पाइप जैसी ऐतिहासिक विफलताओं से मिलती-जुलती है, लेकिन यह अन्वेषण की सरलता और दायरे की व्यापकता के कारण विशिष्ट है। भेद्यता रिपोर्टों में हालिया वृद्धि सीधे तौर पर बग शिकार में कृत्रिम बुद्धिमत्ता उपकरणों के उपयोग से संबंधित है। शोधकर्ताओं का अनुमान है कि 2017 से सक्रिय अधिकांश प्रतिष्ठानों को परिचालन सुरक्षा बनाए रखने के लिए तत्काल ध्यान देने की आवश्यकता है।

Veja Tambem em ताज़ा खबरें (HI)

समझें कि क्यों दमकल गाड़ियों ने ब्राज़ीलियाई टीम के विमान पर पानी फेंका

स्तन कैंसर से लड़ाई के बाद पार्क मि-सन टीवी पर लौटीं

बारिश के कारण खेल स्थगित होने के बाद तीसरे दिन हिरोशिमा कार्प ने निप्पॉन हैम के खिलाफ टोकोडा की पुष्टि की

पुराने, ख़राब रखरखाव वाले वाहनों को E10 गैसोलीन का उपयोग करते समय समस्याओं का सामना करना पड़ता है

आईएमडी की चेतावनी के साथ इस मंगलवार को 17 भारतीय राज्यों में भारी बारिश और तूफान आया

वैश्विक आउटेज में क्लाउड डाउन और एंथ्रोपिक मॉडलों में त्रुटियों की पुष्टि करता है

टाइफून नंबर 6 चानमी दक्षिणी क्यूशू की ओर बढ़ रहा है और पूर्वी जापान की ओर बढ़ रहा है

सेबू लायंस ने तूफान के कारण खेल रद्द कर दिया है और काइमा ताइरा को हंसिन टाइगर के खिलाफ चौथे मैच के लिए शेड्यूल किया है

फेसबुक व्हिसलब्लोअर, सारा व्यान-विलियम्स, मेटा के आदेश का अनुपालन करती है और यूनाइटेड किंगडम में कार्यक्रम में चुप रहती है

जून में ऑफिस पैशन और ओएसिस के साथ रोमांटिक कॉमेडी और रहस्य नेटफ्लिक्स पर आएंगे

उरुग्वे ने 2026 विश्व कप के लिए छह ब्राजीलियाई फुटबॉल खिलाड़ियों के साथ टीम की सूची की घोषणा की

2026 विश्व कप कब शुरू होगा? दिनांक, समय, पहला खेल और उद्घाटन समारोह

VER MAIS EM ताज़ा खबरें (HI)