O Chief Information Security Officer (CISO) da SlowMist, 23pds, publicou no X a 30 de abril, que foi encontrado, no sistema Linux, uma vulnerabilidade lógica denominada “Copy Fail” (CVE-2026-31431), altamente explorável, pelo que a SlowMist recomenda aos utilizadores que atualizem rapidamente o kernel.
Informação base da vulnerabilidade e âmbito afetado
De acordo com o relatório técnico do dia 29 de abril do grupo de investigação Xint Code, a CVE-2026-31431 é uma vulnerabilidade lógica no template de cifra de autenticação com dados adicionais (AEAD) do kernel Linux, algif_aead.c, que utiliza uma cadeia de chamadas envolvendo AF_ALG + a função splice(), permitindo que um utilizador local não privilegiado realize uma escrita controlada determinística de 4 bytes na cache de páginas de ficheiros arbitrários legíveis pelo sistema, e assim obtenha privilégios de root ao comprometer binários setuid.
De acordo com o relatório da Xint Code, foram testadas e confirmadas as distribuições e versões de kernel afetadas, incluindo:
Ubuntu 24.04 LTS:kernel 6.17.0-1007-aws
Amazon Linux 2023:kernel 6.18.8-9.213.amzn2023
RHEL 10.1:kernel 6.12.0-124.45.1.el10_1
SUSE 16:kernel 6.12.0-160000.9-default
De acordo com o relatório da Xint Code, a causa raiz desta vulnerabilidade está na otimização AEAD “in-place” introduzida no algif_aead.c em 2017 (commit 72548b093ee3), que faz com que as páginas da cache provenientes do splice() sejam colocadas numa lista dispersa gravável e, em conjunto com a operação temporária de escrita do encapsulador AEAD authenticsn, formam um caminho explorável.
Linha temporal de divulgação coordenada e medidas de correção
De acordo com a linha temporal divulgada pela Xint Code em 29 de abril, a CVE-2026-31431 foi reportada ao Linux Kernel Security Team a 23 de março de 2026. O patch (a664bf3d603d) ficou concluído na revisão a 25 de março, foi submetido ao kernel principal a 1 de abril, a CVE foi atribuída oficialmente a 22 de abril e a divulgação pública ocorreu a 29 de abril.
De acordo com o relatório da Xint Code, as medidas de correção incluem: atualizar os pacotes de software do kernel das distribuições (as principais distribuições devem publicar este patch através de atualizações regulares do kernel). Se for necessária uma mitigação imediata, pode ser utilizada a seccomp para impedir a criação de sockets AF_ALG, ou executar o seguinte comando para colocar o módulo algif_aead na lista negra: echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf.
De acordo com o relatório da Xint Code, esta vulnerabilidade afeta também cenários além do limite entre contentores, porque a cache de páginas é partilhada pelo anfitrião; os impactos relacionados com escape de contentores do Kubernetes serão divulgados na segunda parte.
Perguntas frequentes
Qual é o âmbito de impacto da CVE-2026-31431?
De acordo com o relatório da Xint Code a 29 de abril e com o alerta da SlowMist 23pds a 30 de abril, a CVE-2026-31431 afeta praticamente todas as principais distribuições Linux lançadas desde 2017, incluindo Ubuntu, Amazon Linux, RHEL e SUSE, permitindo que um script Python com 732 bytes obtenha privilégios de root sem necessidade de privilégios.
Qual é a mitigação temporária para esta vulnerabilidade?
De acordo com o relatório da Xint Code a 29 de abril, é possível bloquear a criação de sockets AF_ALG via seccomp, ou executar echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf para colocar o módulo algif_aead na lista negra e mitigar imediatamente.
Quando é que o patch da CVE-2026-31431 é disponibilizado?
De acordo com a linha temporal divulgada pela Xint Code a 29 de abril, o patch (a664bf3d603d) foi submetido ao kernel principal do Linux a 1 de abril de 2026; as principais distribuições devem publicar este patch através de atualizações regulares dos pacotes de software do kernel.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
A fuga da chave privada da Syndicate Labs leva a $330K SYND Drain em 1 de maio; a empresa promete reembolso total
De acordo com a Syndicate Labs, a 1 de maio, um vazamento de chave privada resultou em upgrades maliciosos aos contratos da ponte cross-chain da empresa em duas blockchains. Os atacantes drenaram aproximadamente 18,5 milhões de tokens SYND (no valor de cerca de $330.000) e cerca de $50.000 em tokens de utilizadores. O incidente afetou apenas
GateNews2h atrás
Atores norte-coreanos extraem $577M em ciberataques cripto até abril de 2026, respondendo por 76% das perdas globais
De acordo com a TRM Labs, atores norte-coreanos extraíram aproximadamente 577 milhões de dólares nos primeiros quatro meses de 2026, representando 76% de todas as perdas globais de ciberataques com criptomoedas durante o período. O roubo resulta de dois incidentes de abril: o exploit de KelpDAO no valor de 292 milhões de dólares e o caso de Drift no valor de 285 milhões de dólares
GateNews5h atrás
A Coreia do Norte foi responsável por 76% das perdas com ataques criptográficos em 2026 nos primeiros quatro meses, $577M roubado: TRM Labs
De acordo com a TRM Labs, atores norte-coreanos extraíram aproximadamente 577 milhões de dólares nos primeiros quatro meses de 2026, representando 76% de todas as perdas globais por hacks de criptomoedas durante o período. As perdas resultam de dois incidentes de abril: o exploit da KelpDAO no valor de 292 milhões de dólares e o incidente da Drift Pr
GateNews5h atrás
Kelp actualiza integralmente a ponte entre cadeias após duas semanas, ether.fi reforça simultaneamente a robustez do WeETH
Há duas semanas após o hack da ponte cross-chain de rsETH em 18 de abril, a Kelp concluiu a actualização em 29/4: validadores a 4/4, 64 confirmações de blocos, topologia com hub-and-spoke e as mensagens cross-chain têm de ser encaminhadas através da mainnet do Ethereum. A ether.fi também endureceu simultaneamente o weETH e juntou-se à doação da DeFi United de 5.000 ETH. A DeFi United mobilizou mais de 70.000 ETH para fundos de resgate, com as taxas de mercado de protocolos como o Aave a descerem de forma significativa; no entanto, o atacante ainda detém cerca de 107.000 rsETH para liquidação, exigindo um processo de governação e um fluxo do tipo comité para recuperar os fundos.
ChainNewsAbmedia6h atrás
Wasabi sofre um ataque no valor de 2,9 milhões de dólares: as chaves privadas do administrador foram divulgadas e o contrato foi alterado para uma versão maliciosa
Os derivados DeFi do Wasabi Protocol sofreram, em 30/04, uma fuga de chaves privadas do administrador; o atacante obteve a ADMIN_ROLE através do Deployer EOA e, depois, usou o mecanismo de upgrade UUPS para substituir os perp vaults e o LongPool por versões maliciosas, permitindo levantamentos directos. A CertiK estima inicialmente um prejuízo de cerca de 2,9 milhões de dólares, com impacto na rede principal da Ethereum e na Base; o Wasabi já anunciou a suspensão da interacção e o Virtuals Protocol também congelou as garantias relacionadas com o Wasabi. Este incidente evidencia o risco de segurança das chaves privadas a montante para o ecossistema a jusante.
ChainNewsAbmedia7h atrás
