En logisk sårbarhet i det kryptografiska undersystemet i Linux-kärnan tillåter oprivilegierade lokala användare att höja sina rättigheter till rotnivån. Identificada som CVE-2026-31431 och smeknamnet Copy Fail, felet påverkar distributioner som släppts sedan 2017. Desenvolvedoras av huvuddistributionerna har redan distribuerat patchar för att rätta till problemet. Exploateringen fungerar genom ett Python-skript med bara tio rader och 732 byte.
Mecanismo teknisk sårbarhet Copy Fail
Felet finns i mallen authenticationsn, en komponent som används i autentiserade krypteringsoperationer. Felet tillåter lokala användare att skriva fyra kontrollerade byte till sidcachen för vilken läsbar fil som helst. Essa-ändring påverkar direkt kärnladdning av binärer, vilket skapar en gateway för privilegieskalering.
https://twitter.com/DarkWebInformer/status/2049579219190165658?ref_src=twsrc%5Etfw
Problemet härrörde från en förändring som genomfördes 2017 i modulen algif_aead. Essa-ändringen tillät att sidcache-sidor var tillgängliga för skrivning i vissa scatterlist-scenarier. Diferentemente Till skillnad från andra klassiska sårbarheter kräver Copy Fail inga tävlingsförhållanden för att fungera, vilket avsevärt förenklar dess exploatering.
Pesquisadores från Theori identifierade problemet med stöd av artificiell intelligens-baserade skanningsverktyg. Exploateringen ändrar binären i minnet utan att utlösa händelsebaserade detekteringsmekanismer för filsystemet som inotify. Isso gör upptäckten mer komplex i realtid.
Impacto i produktions- och containermiljöer
- CVE-2026-31431 fick poängen 7,8 av 10, klassad som hög svårighetsgrad.
- Exploração fungerar i multi-tenant-miljöer och behållare med en delad kärna.
- Page delad cache på värden tillåter potentiell flykt från Kubernetes-behållare.
- Não kan fjärrexploateras isolerat, men förstärker andra attackvektorer.
Sistemas som kör otillförlitlig kod, såsom CI/CD-löpare eller delade servrar, är mer utsatta. Delad sidcache på värdnivå utgör ett konkret flykthot i containeriserade miljöer. Administradores som hanterar flera hyresgäster eller arbetsbelastningar från tredje part bör prioritera omedelbar kärnuppgradering.
Distribuições erbjuder nu korrigerade patchar
Debian, Ubuntu och SUSE har redan gjort uppdaterade kärnor tillgängliga med fixen. Red Hat har ändrat sin initiala uppskjutningsposition och erbjuder nu patchen i synk med ekosystemet. Fedora har också begått korrigeringen till sina arkiv. Patch-utrullning sker på ett samordnat sätt mellan huvudunderhållarna, med Debian och Ubuntu som publicerar nya kärnor med den nödvändiga återgången till det inplacerade beteendet för algif_aead.
Linux-communityt följer processen på diskussionslistor och tekniska forum. Muitos-administratörer har redan startat applikationen på kritiska servrar. Samordning mellan leverantörer begränsade exponeringsperioden efter ansvarsfullt avslöjande av felet.
Tillfällig begränsning Medidas
En tillfällig åtgärd är att inaktivera algif_aead-modulen, vilket förhindrar att den sårbara komponenten laddas i de flesta scenarier. Administradores kan skapa filen /etc/modprobe.d/disable-algif.conf med innehållsinstallationen algif_aead /bin/false. Após detta måste du köra rmmod algif_aead för att ta bort modulen om den är laddad.
Essa-konfiguration kan påverka applikationer som uttryckligen är beroende av krypteringsmodulen. Testes i uppställningsmiljöer rekommenderas före applicering i produktion. Officiell Atualizações förblir den definitiva och säkraste lösningen för att helt lösa sårbarheten.
Contexto upptäckt och framtidsutsikter
Copy Fail liknar historiska fel som Dirty Cow och Dirty Pipe, men utmärker sig för sin enkelhet i utforskning och bredd. Den senaste tidens ökning av sårbarhetsrapporter är direkt relaterad till användningen av artificiell intelligens vid jakt på fel. Pesquisadores uppskattar att majoriteten av installationer som har varit aktiva sedan 2017 kräver omedelbar uppmärksamhet för att upprätthålla driftsäkerheten.