Linux çekirdeğinin kriptografik alt sistemindeki mantıksal bir güvenlik açığı, ayrıcalıksız yerel kullanıcıların haklarını kök düzeyine yükseltmesine olanak tanıyor. Identificada, CVE-2026-31431 olarak adlandırılan ve Copy Fail takma adı verilen kusur, 2017’den beri yayımlanan dağıtımları etkiliyor. Ana dağıtımların Desenvolvedoras’si, sorunu düzeltmek için zaten yamalar dağıttı. Bu istismar, yalnızca on satır ve 732 bayttan oluşan bir Python betiği aracılığıyla çalışıyor.
Mecanismo teknik güvenlik açığı Copy Fail
Hata, kimliği doğrulanmış şifreleme işlemlerinde kullanılan bir bileşen olan kimlik doğrulama şablonunda bulunuyor. Bu kusur, yerel kullanıcıların herhangi bir okunabilir dosyanın sayfa önbelleğine dört kontrollü bayt yazmasına olanak tanıyor. Essa değişikliği, ikili dosyaların çekirdek yüklemesini doğrudan etkileyerek ayrıcalık yükseltme için bir ağ geçidi oluşturur.
https://twitter.com/DarkWebInformer/status/2049579219190165658?ref_src=twsrc%5Etfw
Sorun, 2017 yılında algif_aead modülünde uygulanan bir değişiklikten kaynaklandı. Essa değişikliği, sayfa önbellek sayfalarının belirli dağılım listesi senaryolarında yazmak için kullanılabilir olmasına izin verdi. Diferentemente Diğer klasik güvenlik açıklarından farklı olarak Copy Fail’nin çalışması için yarış koşulları gerekmez, bu da istismarını önemli ölçüde basitleştirir.
Theori’nin Pesquisadores’si, sorunu yapay zeka tabanlı tarama araçlarının desteğiyle tespit etti. Bu istismar, inotify gibi dosya sistemi olayına dayalı algılama mekanizmalarını tetiklemeden bellekteki ikili dosyayı değiştirir. Isso, algılamayı gerçek zamanlı olarak daha karmaşık hale getirir.
Üretim ve konteynere yerleştirme ortamlarında Impacto
- CVE-2026-31431, yüksek şiddet olarak sınıflandırılan 10 üzerinden 7,8 puan aldı.
- Exploração, çok kiracılı ortamlarda ve paylaşılan çekirdeğe sahip kapsayıcılarda çalışır.
- Ana bilgisayardaki Page paylaşılan önbelleği, Kubernetes kapsayıcılarının olası kaçışına olanak tanır.
- Não tek başına uzaktan kullanılabilir ancak diğer saldırı vektörlerini güçlendirir.
CI/CD çalıştırıcıları veya paylaşılan sunucular gibi güvenilmeyen kod çalıştıran Sistemas daha fazla risk altındadır. Ana bilgisayar düzeyinde paylaşılan sayfa önbelleği, konteynerleştirilmiş ortamlarda somut bir kaçış tehdidi oluşturur. Birden fazla kiracıyı veya üçüncü taraf iş yükünü yöneten Administradores, çekirdeğin anında yükseltilmesine öncelik vermelidir.
Distribuições artık düzeltilmiş yamalar sunuyor
Debian, Ubuntu ve SUSE, güncellenmiş çekirdekleri düzeltmeyle birlikte kullanıma sundu. Red Hat başlangıçtaki erteleme konumunu değiştirdi ve artık yamayı ekosistemle senkronize olarak sunuyor. Fedora ayrıca düzeltmeyi depolarına da taahhüt etti. Yama dağıtımı, ana bakım sağlayıcılar arasında koordineli bir şekilde gerçekleşir; Debian ve Ubuntu, algif_aead’in yerinde davranışına gerekli geri dönüş ile yeni çekirdekler yayınlar.
Linux topluluğu, tartışma listeleri ve teknik forumlardaki süreci takip eder. Muitos yöneticileri uygulamayı kritik sunucularda zaten başlattı. Satıcılar arasındaki koordinasyon, arızanın sorumlu bir şekilde açıklanmasından sonraki maruz kalma süresini sınırladı.
Geçici Azaltma Medidas
Geçici bir önlem, algif_aead modülünü devre dışı bırakarak çoğu senaryoda güvenlik açığı bulunan bileşenin yüklenmesini engellemektir. Administradores, algif_aead /bin/false içerik kurulumuyla /etc/modprobe.d/disable-algif.conf dosyasını oluşturabilir. Após bu, yüklüyse modülü kaldırmak için rmmod algif_aead komutunu çalıştırmalısınız.
Essa yapılandırması, açıkça şifreleme modülüne bağlı olan uygulamaları etkileyebilir. Üretimde uygulamadan önce hazırlama ortamlarındaki Testes’nin kullanılması önerilir. Resmi Atualizações, güvenlik açığını tamamen ortadan kaldırmak için kesin ve en güvenli çözüm olmaya devam ediyor.
Contexto Keşfi ve Gelecek Beklentileri
Copy Fail, Dirty Cow ve Dirty Pipe gibi tarihi faylara benzemektedir ancak keşif kolaylığı ve kapsamının genişliği ile öne çıkmaktadır. Son dönemde güvenlik açığı raporlarındaki artış, yapay zeka araçlarının böcek avcılığında kullanılmasıyla doğrudan ilgili. Pesquisadores, 2017’den bu yana aktif olan tesislerin çoğunun operasyonel güvenliğin sürdürülmesi için acil müdahale gerektirdiğini tahmin ediyor.