ذكرت شركة سلوب ميست (SlowMist) أن كبير مسؤولي أمن المعلومات لديها 23pds نشر على X في 30 أبريل، بأن أنظمة Linux تحتوي على ثغرة منطقية تُسمى “Copy Fail” (CVE-2026-31431)، يسهل استغلالها للغاية، وحثّت سلوب ميست المستخدمين على إجراء ترقية عاجلة للنواة.
المعلومات الأساسية عن الثغرة والنطاق المتأثر
وفقاً للتقرير التقني الصادر في 29 أبريل من فريق أبحاث Xint Code، فإن CVE-2026-31431 هي ثغرة منطقية داخل قالب التحقق والتشفير AEAD في ملف algif_aead.c ضمن نواة Linux، وتستغل سلاسل استدعاء عبر AF_ALG مع دالة splice()، ما يتيح لمستخدم محلي غير ذي صلاحيات الوصول إلى كتابة مسيطر عليها بحجم 4 بايتات بشكل حتمي في صفحات ذاكرة التخزين المؤقت لملفات يمكن قراءتها عشوائياً للنظام، وبالتالي الحصول على صلاحيات الجذر عن طريق تعطيل ثنائيات setuid.
وبحسب تقرير Xint Code، تم اختبار واستكمال تأكيد أن التوزيعات وإصدارات النواة المتأثرة تشمل:
Ubuntu 24.04 LTS: النواة 6.17.0-1007-aws
Amazon Linux 2023: النواة 6.18.8-9.213.amzn2023
RHEL 10.1: النواة 6.12.0-124.45.1.el10_1
SUSE 16: النواة 6.12.0-160000.9-default
وفقاً لتقرير Xint Code، تتمثل الجذور في السبب وراء هذه الثغرة في تحسين AEAD داخل المكان (in-place) الذي تم تقديمه إلى algif_aead.c في 2017 (الالتزام 72548b093ee3)، ما أدى إلى وضع صفحات ذاكرة التخزين المؤقت القادمة من splice() ضمن قائمة متفرقة قابلة للكتابة، بالتزامن مع عملية الكتابة المؤقتة القابلة للاستغلال في مغلف authenticsn AEAD، لتكوين مسار استغلالي.
جدول الإفصاح المنسق وخطط المعالجة
وفقاً لجدول زمني أُعلن عنه من Xint Code في 29 أبريل، تم الإبلاغ عن CVE-2026-31431 إلى فريق أمن نواة Linux في 23 مارس 2026، واكتمل فحص التصحيح (a664bf3d603d) في 25 مارس، وتم تقديمه إلى النواة الرئيسية في 1 أبريل، وتم تخصيص CVE رسمياً في 22 أبريل، ثم جرى الإفصاح العلني في 29 أبريل.
وبحسب تقرير Xint Code، تشمل إجراءات المعالجة: تحديث حزم برمجيات نواة التوزيعات (وينبغي للتوزيعات الشائعة إصدار هذا التصحيح عبر تحديثات النواة الاعتيادية). ولإجراء تخفيف فوري، يمكن منع إنشاء مقابس AF_ALG عبر seccomp، أو تنفيذ الأوامر التالية لإدراج وحدة algif_aead ضمن القائمة السوداء: echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf.
ووفقاً لتقرير Xint Code، تؤثر هذه الثغرة أيضاً على سيناريوهات عبر حدود الحاويات، بسبب مشاركة ذاكرة التخزين المؤقت للصفحات مع المضيف؛ وسيجري الإفصاح عن التأثيرات ذات الصلة بتجاوز حاويات Kubernetes في الجزء الثاني.
الأسئلة الشائعة
ما هو نطاق تأثير CVE-2026-31431؟
وفقاً لتقرير Xint Code وتحذير 23pds في 30 أبريل، تؤثر CVE-2026-31431 على ما يقرب من جميع توزيعات Linux السائدة التي تم إصدارها منذ 2017، بما في ذلك Ubuntu وAmazon Linux وRHEL وSUSE، إذ يمكن لبرامج نصية بايثون بحجم 732 بايتاً الحصول على صلاحيات الجذر دون الحاجة إلى امتيازات.
ما هي طريقة التخفيف المؤقتة لهذه الثغرة؟
وفقاً لتقرير Xint Code، يمكن منع إنشاء مقابس AF_ALG عبر seccomp، أو تنفيذ echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf لإدراج وحدة algif_aead ضمن القائمة السوداء من أجل التخفيف الفوري.
متى تم إصدار التصحيح لـ CVE-2026-31431؟
وفقاً لجدول الإفصاح الذي نشره Xint Code في 29 أبريل، تم تقديم التصحيح (a664bf3d603d) إلى النواة الرئيسية في 1 أبريل 2026، ومن المفترض أن تصدر التوزيعات الشائعة هذا التصحيح عبر تحديثات الحزم البرمجية للنواة الاعتيادية.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
تسريب مفتاح خاص لشركة Syndicate Labs يؤدي إلى سحب $330K SYND في 1 مايو؛ الشركة تتعهد بتعويض كامل
بحسب Syndicate Labs، في 1 مايو، أدى تسرب مفتاح خاص إلى ترقيات خبيثة لعقود جسر عبر السلاسل الخاصة بالشركة على سلسلتين بلوكشين. استنزف المهاجمون ما يقارب 18.5 مليون توكن SYND (بما يعادل حوالي 330,000 دولار) ونحو 50,000 دولار من توكنات المستخدمين. ولم يؤثر الحادث إلا
GateNewsمنذ 2 س
يستخرج ممثلو كوريا الشمالية $577M في اختراقات العملات المشفرة حتى أبريل 2026، بما يمثل 76% من الخسائر العالمية
وبحسب TRM Labs، استخرجت الجهات الفاعلة الكورية الشمالية نحو 577 مليون دولار خلال الأشهر الأربعة الأولى من عام 2026، وهو ما يمثل 76% من جميع خسائر اختراق العملات الرقمية العالمية خلال الفترة. وتعود عملية السرقة إلى حادثين وقعا في أبريل: استغلال KelpDAO بقيمة 292 مليون دولار، وسرقة Drift بقيمة 285 مليون دولار
GateNewsمنذ 5 س
كشفت $577M عن أن كوريا الشمالية كانت مسؤولة عن 76% من خسائر اختراقات العملات المشفرة في عام 2026 خلال الأشهر الأربعة الأولى، مع سرقة من قبل TRM Labs
ووفقاً لـ TRM Labs، استخرجت جهات فاعلة كورية شمالية ما يقارب 577 مليون دولار خلال الأشهر الأربعة الأولى من عام 2026، بما يمثل 76% من إجمالي خسائر اختراقات العملات المشفرة العالمية خلال الفترة. وتعود الخسائر إلى حادثين وقعا في أبريل: استغلال KelpDAO بقيمة 292 مليون دولار، واختراق Drift Pr بقيمة 285 مليون دولار
GateNewsمنذ 5 س
سيتم إجراء ترقية شاملة لجسر Kelp عبر السلاسل بعد أسبوعين، بالتزامن مع قيام ether.fi بتعزيز صلابة WeETH
بعد اختراق جسر rsETH عبر السلاسل في 18 أبريل، وبعد أسبوعين، أكملت Kelp ترقية في 29/4: تم التحقق من المدققين في 4/4، وتأكيد الكتل 64، واعتمدت البنية طوبولوجيا على شكل hub-and-spoke، بحيث يجب أن تمر رسائل الربط عبر شبكة الإيثريوم الرئيسية كمحطة وسيطة. كما قامت ether.fi بتدعيم weETH في الوقت نفسه، وأضافت DeFi United تبرعاً بقيمة 5,000 ETH. حشدت DeFi United أكثر من 70,000 ETH لتوفير تمويل الإنقاذ، وانخفضت بشكل ملحوظ أسعار الفائدة في أسواق مثل Aave؛ لكن المهاجمين ما زالوا يحتفظون بنحو 107,000 rsETH بانتظار التصفية، ما يستلزم استعادة عبر آليات حوكمة وإجراءات على نمط اللجان.
ChainNewsAbmediaمنذ 6 س
تعرضت Wasabi للاختراق بقيمة 2.9 مليون دولار: تسربت مفاتيح خاصة للمسؤول، وتم تعديل العقد إلى نسخة خبيثة
تعرّض بروتوكول Wasabi Protocol، وهو من منتجات المشتقات في قطاع DeFi، لتسرّب مفاتيح خاصة إدارية في 4/30، حيث حصل المهاجمون على ADMIN_ROLE عبر حساب Deployer EOA، ثم استغلوا آلية ترقية UUPS لاستبدال محافظ perp وLongPool بإصدارات خبيثة، ما مكّنهم من السحب مباشرة. قدّرت CertiK خسائر بنحو 2.9 مليون دولار. وقد تأثرت شبكة Ethereum الرئيسية وBase؛ وأعلنت Wasabi تعليق التفاعل. كما قامت Virtuals Protocol بتجميد الضمانات المرتبطة بـWasabi. وتُبرز هذه الحادثة مخاطر أمن المفاتيح الخاصة في المنبع على النظام البيئي في المنبع والامتداد إلى الأسفل.
ChainNewsAbmediaمنذ 7 س
