En logisk sårbarhed i det kryptografiske undersystem af Linux-kernen tillader uprivilegerede lokale brugere at hæve deres rettigheder til rodniveauet. Identificada som CVE-2026-31431 og kaldet Copy Fail, fejlen påvirker distributioner udgivet siden 2017. Desenvolvedoras af hoveddistributionerne har allerede distribueret patches for at rette op på problemet. Udnyttelsen fungerer gennem et Python-script med kun ti linjer og 732 bytes.
Mecanismo teknisk sårbarhed Copy Fail
Fejlen ligger i authenticationsn-skabelonen, en komponent, der bruges i autentificerede krypteringsoperationer. Fejlen tillader lokale brugere at skrive fire kontrollerede bytes til sidecachen i enhver læsbar fil. Ændring af Essa påvirker direkte kerneindlæsning af binære filer, hvilket skaber en gateway til privilegieeskalering.
https://twitter.com/DarkWebInformer/status/2049579219190165658?ref_src=twsrc%5Etfw
Problemet stammer fra en ændring implementeret i 2017 i algif_aead-modulet. Essa-ændring tillod sidecache-sider at være tilgængelige til skrivning i visse scatterliste-scenarier. Diferentemente I modsætning til andre klassiske sårbarheder, kræver Copy Fail ikke raceforhold for at fungere, hvilket væsentligt forenkler udnyttelsen.
Pesquisadores fra Theori identificerede problemet med støtte fra kunstig intelligens-baserede scanningsværktøjer. Udnyttelsen ændrer det binære i hukommelsen uden at udløse hændelsesbaserede registreringsmekanismer i filsystemet, såsom inotify. Isso gør detektion mere kompleks i realtid.
Impacto i produktions- og containeriseringsmiljøer
- CVE-2026-31431 modtog en score på 7,8 ud af 10, klassificeret som høj sværhedsgrad.
- Exploração fungerer i multi-tenant-miljøer og containere med en delt kerne.
- Page delt cache på værten tillader potentiel escape af Kubernetes containere.
- Não kan fjernudnyttes isoleret, men forstærker andre angrebsvektorer.
Sistemas, der kører upålidelig kode, såsom CI/CD-løbere eller delte servere, er mere udsatte. Delt sidecache på værtsniveau udgør en konkret flugtrussel i containeriserede miljøer. Administradores, der administrerer flere lejere eller tredjeparts arbejdsbelastninger, bør prioritere øjeblikkelig kerneopgradering.
Distribuições tilbyder nu korrigerede patches
Debian, Ubuntu og SUSE har allerede gjort opdaterede kerner tilgængelige med rettelsen. Red Hat har ændret sin oprindelige udsættelsesposition og tilbyder nu patchen i sync med økosystemet. Fedora har også forpligtet rettelsen til sine arkiver. Udrulning af patch sker på en koordineret måde mellem de vigtigste vedligeholdere, hvor Debian og Ubuntu udgiver nye kerner med den nødvendige tilbagevenden til algif_aeads in-place adfærd.
Linux-fællesskabet følger processen på diskussionslister og tekniske fora. Muitos-administratorer har allerede startet applikationen på kritiske servere. Koordinering mellem leverandører begrænsede eksponeringsperioden efter ansvarlig offentliggørelse af fejlen.
Midlertidig afhjælpning Medidas
En midlertidig foranstaltning er at deaktivere algif_aead-modulet, hvilket forhindrer den sårbare komponent i at indlæses i de fleste scenarier. Administradores kan oprette filen /etc/modprobe.d/disable-algif.conf med indholdsinstallationen algif_aead /bin/false. Após dette, skal du udføre rmmod algif_aead for at fjerne modulet, hvis det er indlæst.
Essa-konfiguration kan påvirke applikationer, der eksplicit afhænger af krypteringsmodulet. Testes i scenemiljøer anbefales før påføring i produktionen. Officielle Atualizações forbliver den definitive og mest sikre løsning til fuldstændigt at løse sårbarheden.
Contexto opdagelse og fremtidsudsigter
Copy Fail ligner historiske fejl som Dirty Cow og Dirty Pipe, men skiller sig ud for sin enkelhed i udforskning og bredde i omfang. Den seneste stigning i sårbarhedsrapporter er direkte relateret til brugen af kunstig intelligens-værktøjer til bugjagt. Pesquisadores vurderer, at størstedelen af installationer, der har været aktive siden 2017, kræver øjeblikkelig opmærksomhed for at opretholde driftssikkerheden.