紧急预警|Linux史诗级提权漏洞Copy Fail曝
CVE-2026-31431漏洞允许低权限用户通过Python脚本获取root权限,影响广泛。建议立即更新内核或禁用相关模块,确保系统安全。
Linux Kernel 被披露其存在本地权限提升漏洞,漏洞编号CVE-2026-31431,代号 “Copy Fail”。可导致本地低权限攻击者利用 AF_ALG 加密接口与 splice() 系统调用,实现向任意可读文件的页缓存中写入受控的4字节数据,进而通过篡改 setuid 二进制文件获得 root 权限等危害。为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。漏洞详情Linux Kernel 是全球最广泛使用的开源操作系统内核,它是 Linux 系统的核心组件,负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。据描述,在 Linux 内核的 authencesn 加密模板与 algif_aead 模块的组合实现中,由于 AF_ALG 套接字的 AEAD 解密路径在 2017 年引入了一个就地(in-place)操作优化(提交 72548b093ee3),将 splice() 传递过来的目标文件页缓存页面直接链入可写的输出散列表(scatterlist)。而 authencesn 算法在实现 IPsec 扩展序列号(ESN)支持时,为了重排认证数据中的序列号字节,会在解密过程中将接收缓冲区偏移 assoclen + cryptlen 位置作为临时存储空间写入 4 字节数据。当 AF_ALG 通过 recvmsg() 触发解密操作时,该写入会跨越接收缓冲区边界,直接覆盖链在后面的页缓存页面,从而实现对任意已打开的可读文件的页缓存进行受控的 4 字节篡改,最终导致本地低权限攻击者可通过篡改系统上任意可读文件(如 /usr/bin/su 等 setuid 程序)的页缓存内容,无需竞争条件或重试即可直接获得 root 权限,且该写入不会触发磁盘脏页回写,可实现持久化提权等危害。目前该漏洞的漏洞细节、POC已公开。风险等级高风险漏洞风险本地攻击者利用该漏洞可在无需竞争条件、无需重试的情况下,通过篡改系统上任意可读文件(如 /usr/bin/su 等 setuid 程序)的页缓存内容,直接获得 root 权限,且该写入不会触发磁盘脏页回写,可实现持久化提权等危害。影响版本72548b093ee3 <= commit < a664bf3d603d目前已知受影响操作系统及版本:Ubuntu 25.10Ubuntu 24.04 LTSUbuntu 22.04 LTSUbuntu 20.04 LTSUbuntu 18.04 LTSAmazon Linux 2023Red Hat Enterprise Linux 10Red Hat Enterprise Linux 9Red Hat Enterprise Linux 8SUSE 16安全版本commit >= a664bf3d603d排查方法# 检查内核版本uname -r# 检查内核配置是否启用(推荐)grep CONFIG_CRYPTO_USER_API_AEAD /boot/config-$(uname -r)注:会出现以下三种情况:CONFIG_CRYPTO_USER_API_AEAD=n 彻底关闭,不受影响,无需处理CONFIG_CRYPTO_USER_API_AEAD=y 静态编译进内核,Ismod 查不到,但受影响,暂无缓解措施,只能升级内核(例如:RHEL/CentOS/Rocky Linux/AlmaLinux 8, 9, 10 三代产品)CONFIG_CRYPTO_USER_API_AEAD=m 模块方式,Ismod 可查,加载就有风险,受影响,可通过以下缓解措施缓解# 检查模块是否已加载受影响模块lsmod | grep algif# 检查 AF_ALG socket 是否可创建python3 -c “import socket; socket.socket(38,5,0); print(‘VULNERABLE’)”修复建议1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,升级至安全版本https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a52. 针对 Ubuntu、Debian、RHEL/CentOS、SUSE 等用户,官方暂未发布安全更新,请及时关注官方安全公告:Ubuntu:https://ubuntu.com/security/CVE-2026-31431Debian:https://security-tracker.debian.org/tracker/CVE-2026-31431RHEL/CentOS:https://access.redhat.com/security/cve/cve-2026-31431SUSE:https://www.suse.com/security/cve/CVE-2026-31431.html3. 缓解措施:# 禁用内核模块echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf# 卸载已加载模块rmmod algif_aead 2>/dev/null注:针对静态编译进内核的系统(例如:RHEL/CentOS/Rocky Linux/AlmaLinux 8, 9, 10 三代产品),此缓解措施可能无法生效,建议更新官方内核补丁。# 验证python3 -c ‘import socket; s=socket.socket(38,5,0); (s.bind((“aead”, “authencesn(hmac(sha256),cbc(aes))”)) or print(“未缓解”)) if s else None’ 2>/dev/null || echo “已缓解”4. 容器环境加固通过 seccomp 禁止 AF_ALG socket 创建(family=38):”syscalls”: [{ “names”: [“socket”], “action”: “SCMP_ACT_ERRNO”, “args”: [{“index”: 0, “value”: 38, “op”: “SCMP_CMP_EQ”}]}]【备注】:建议您在升级前做好数据备份工作,避免出现意外漏洞参考https://copy.fail/https://xint.io/blog/copy-fail-linux-distributionshttps://github.com/theori-io/copy-fail-CVE-2026-31431/https://nvd.nist.gov/vuln/detail/CVE-2026-31431