Eine logische Schwachstelle im kryptografischen Subsystem des Linux-Kernels ermöglicht es unprivilegierten lokalen Benutzern, ihre Rechte auf die Root-Ebene zu erhöhen. Identificada als CVE-2026-31431 und Spitzname Copy Fail, der Fehler betrifft Distributionen, die seit 2017 veröffentlicht wurden. Desenvolvedoras der Hauptdistributionen hat bereits Patches zur Behebung des Problems verteilt. Der Exploit funktioniert über ein Python-Skript mit nur zehn Zeilen und 732 Bytes.
Mecanismo technische Schwachstelle Copy Fail
Der Fehler liegt in der Authentifizierungsvorlage, einer Komponente, die bei authentifizierten Verschlüsselungsvorgängen verwendet wird. Der Fehler ermöglicht es lokalen Benutzern, vier kontrollierte Bytes in den Seitencache jeder lesbaren Datei zu schreiben. Die Änderung von Essa wirkt sich direkt auf das Laden von Binärdateien im Kernel aus und schafft ein Gateway für die Rechteausweitung.
https://twitter.com/DarkWebInformer/status/2049579219190165658?ref_src=twsrc%5Etfw
Das Problem entstand durch eine 2017 im Modul algif_aead implementierte Änderung. Die Änderung Essa ermöglichte, dass Seiten-Cache-Seiten in bestimmten Scatterlist-Szenarien zum Schreiben verfügbar waren. Diferentemente Im Gegensatz zu anderen klassischen Schwachstellen benötigt Copy Fail keine Race Conditions, um zu funktionieren, was die Ausnutzung erheblich vereinfacht.
Pesquisadores von Theori identifizierte das Problem mit der Unterstützung von auf künstlicher Intelligenz basierenden Scan-Tools. Der Exploit verändert die Binärdatei im Speicher, ohne ereignisbasierte Erkennungsmechanismen des Dateisystems wie inotify auszulösen. Isso macht die Erkennung in Echtzeit komplexer.
Impacto in Produktions- und Containerisierungsumgebungen
- CVE-2026-31431 erhielt eine Bewertung von 7,8 von 10, was als hoher Schweregrad eingestuft wird.
- Exploração funktioniert in mandantenfähigen Umgebungen und Containern mit einem gemeinsam genutzten Kernel.
- Der gemeinsam genutzte Page-Cache auf dem Host ermöglicht die potenzielle Flucht von Kubernetes-Containern.
- Não ist isoliert aus der Ferne ausnutzbar, verstärkt jedoch andere Angriffsvektoren.
Sistemas, die nicht vertrauenswürdigen Code ausführen, wie etwa CI/CD-Runner oder gemeinsam genutzte Server, sind stärker gefährdet. Der Shared-Page-Cache auf Host-Ebene stellt in Containerumgebungen eine konkrete Escape-Bedrohung dar. Administradores, die mehrere Mandanten oder Workloads von Drittanbietern verwalten, sollten einem sofortigen Kernel-Upgrade Vorrang einräumen.
Distribuições bietet jetzt korrigierte Patches an
Debian, Ubuntu und SUSE haben mit dem Fix bereits aktualisierte Kernel zur Verfügung gestellt. Red Hat hat seine anfängliche Aufschubposition geändert und bietet den Patch nun synchron mit dem Ökosystem an. Fedora hat den Fix auch in seine Repositorys übernommen. Der Patch-Rollout erfolgt in koordinierter Weise zwischen den Hauptbetreuern, wobei Debian und Ubuntu neue Kernel veröffentlichen und dabei auf das ursprüngliche Verhalten von algif_aead zurückgreifen.
Die Linux-Community verfolgt den Prozess auf Diskussionslisten und technischen Foren. Muitos-Administratoren haben die Anwendung bereits auf kritischen Servern gestartet. Durch die Abstimmung zwischen den Anbietern wurde der Zeitraum der Gefährdung nach der verantwortungsvollen Offenlegung des Fehlers begrenzt.
Vorübergehende Schadensbegrenzung Medidas
Eine vorübergehende Maßnahme besteht darin, das Modul algif_aead zu deaktivieren, um in den meisten Fällen das Laden der anfälligen Komponente zu verhindern. Administradores kann die Datei /etc/modprobe.d/disable-algif.conf mit dem Inhalt install algif_aead /bin/false erstellen. Após Dazu müssen Sie rmmod algif_aead ausführen, um das Modul zu entfernen, wenn es geladen ist.
Die Essa-Konfiguration kann sich auf Anwendungen auswirken, die explizit vom Verschlüsselungsmodul abhängig sind. Testes in Staging-Umgebungen wird vor der Anwendung in der Produktion empfohlen. Das offizielle Atualizações bleibt die endgültige und sicherste Lösung, um die Schwachstelle vollständig zu beheben.
Contexto Entdeckung und Zukunftsaussichten
Copy Fail ähnelt historischen Verwerfungen wie Dirty Cow und Dirty Pipe, zeichnet sich jedoch durch seine Einfachheit der Erkundung und seinen Umfang aus. Der jüngste Anstieg an Schwachstellenmeldungen steht in direktem Zusammenhang mit dem Einsatz von Tools der künstlichen Intelligenz bei der Fehlersuche. Pesquisadores schätzt, dass die Mehrzahl der seit 2017 aktiven Anlagen sofortige Aufmerksamkeit erfordern, um die Betriebssicherheit aufrechtzuerhalten.