Een kritieke fout in de Linux-kernel maakt uitbreiding van privileges naar root mogelijk

Een logische kwetsbaarheid in het cryptografische subsysteem van de Linux-kernel stelt onbevoegde lokale gebruikers in staat hun rechten naar het rootniveau te verhogen. Identificada als CVE-2026-31431 en bijgenaamd Copy Fail, de fout treft distributies die sinds 2017 zijn uitgebracht. Desenvolvedoras van de belangrijkste distributies hebben al patches gedistribueerd om het probleem te corrigeren. De exploit werkt via een Python-script met slechts tien regels en 732 bytes.

Mecanismo technische kwetsbaarheid Copy Fail

De bug zit in de authenticatiesjabloon, een component die wordt gebruikt bij geverifieerde encryptiebewerkingen. Door deze fout kunnen lokale gebruikers vier gecontroleerde bytes naar de paginacache van elk leesbaar bestand schrijven. De Essa-wijziging heeft rechtstreeks invloed op het laden van binaire bestanden in de kernel, waardoor een gateway ontstaat voor escalatie van bevoegdheden.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

Het probleem is ontstaan ​​door een wijziging die in 2017 is doorgevoerd in de algif_aead-module. De Essa-wijziging maakte het mogelijk dat paginacachepagina’s beschikbaar waren voor schrijven in bepaalde spreidingslijstscenario’s. Diferentemente In tegenstelling tot andere klassieke kwetsbaarheden vereist Copy Fail geen racecondities om te kunnen functioneren, waardoor de exploitatie ervan aanzienlijk wordt vereenvoudigd.

Pesquisadores van Theori heeft het probleem geïdentificeerd met behulp van op kunstmatige intelligentie gebaseerde scantools. De exploit wijzigt het binaire bestand in het geheugen zonder op gebeurtenissen gebaseerde detectiemechanismen van het bestandssysteem, zoals inotify, te activeren. Isso maakt detectie in realtime complexer.

Leia Tambem

Park Mi-sun keert terug op tv na de strijd tegen borstkanker

Hiroshima Carp bevestigt Tokoda tegen Nippon Ham op de 3e nadat de wedstrijd is uitgesteld vanwege regen

Oudere, slecht onderhouden voertuigen ondervinden problemen bij het gebruik van E10-benzine

Impacto in productie- en containerisatieomgevingen

• CVE-2026-31431 kreeg een score van 7,8 uit 10, geclassificeerd als zeer ernstig.
• Exploração werkt in multi-tenantomgevingen en containers met een gedeelde kernel.
• De gedeelde Page-cache op de host maakt mogelijke ontsnapping van Kubernetes-containers mogelijk.
• Não kan afzonderlijk op afstand worden misbruikt, maar versterkt andere aanvalsvectoren.

Sistemas waarop niet-vertrouwde code wordt uitgevoerd, zoals CI/CD-runners of gedeelde servers, lopen een groter risico. Gedeelde paginacache op hostniveau vormt een concrete ontsnappingsdreiging in containeromgevingen. Administradores die meerdere tenants of workloads van derden beheren, moeten prioriteit geven aan onmiddellijke kernelupgrades.

Distribuições biedt nu gecorrigeerde patches

Debian, Ubuntu en SUSE hebben al bijgewerkte kernels beschikbaar gemaakt met de oplossing. Red Hat heeft zijn initiële uitstelpositie gewijzigd en biedt de patch nu synchroon met het ecosysteem. Fedora heeft de oplossing ook vastgelegd in zijn opslagplaatsen. Het uitrollen van patches gebeurt op een gecoördineerde manier tussen de hoofdonderhouders, waarbij Debian en Ubuntu nieuwe kernels publiceren met de noodzakelijke terugkeer naar het in-place gedrag van algif_aead.

De Linux-gemeenschap volgt het proces op discussielijsten en technische forums. Muitos-beheerders hebben de applicatie al gestart op kritische servers. Coördinatie tussen leveranciers beperkte de periode van blootstelling na de verantwoorde openbaarmaking van het falen.

Tijdelijke beperking Medidas

Een tijdelijke maatregel is het uitschakelen van de algif_aead-module, waardoor in de meeste scenario’s wordt voorkomen dat het kwetsbare onderdeel wordt geladen. Administradores kan het bestand /etc/modprobe.d/disable-algif.conf maken met de inhoud install algif_aead /bin/false. Após dit, moet u rmmod algif_aead uitvoeren om de module te verwijderen als deze is geladen.

De Essa-configuratie kan van invloed zijn op toepassingen die expliciet afhankelijk zijn van de coderingsmodule. Testes in testomgevingen wordt aanbevolen vóór toepassing in productie. Officiële Atualizações blijft de definitieve en veiligste oplossing om de kwetsbaarheid volledig op te lossen.

Contexto ontdekking en toekomstperspectieven

Copy Fail lijkt op historische fouten zoals Dirty Cow en Dirty Pipe, maar valt op door zijn eenvoud van onderzoek en reikwijdte. De recente toename van het aantal kwetsbaarheidsrapporten houdt rechtstreeks verband met het gebruik van kunstmatige-intelligentietools bij het zoeken naar bugs. Pesquisadores schat dat de meeste installaties die sinds 2017 actief zijn, onmiddellijke aandacht vereisen om de operationele veiligheid te behouden.