慢雾警告:Linux Copy Fail 漏洞极易利用,建议尽快升级核心
據慢雾(SlowMist)首席资訊安全长 23pds 於 4 月 30 日在 X 发文,Linux 系统中发现一个名为「Copy Fail」的逻辑漏洞(CVE-2026-31431),極易被利用,慢雾建议用戶迅速升級核心。
漏洞基本资訊与受影響範圍
根據 Xint Code 研究團队 4 月 29 日的技術报告,CVE-2026-31431 是 Linux 核心验证加密(AEAD)模板 algif_aead.c 中的逻辑漏洞,利用 AF_ALG + splice() 函數链式调用,允許非特權本机用戶对系统任意可读檔案的頁面快取进行確定性的 4 位元組受控寫入,进而通过破壞 setuid 二进位檔案取得 root 權限。
根據 Xint Code 报告,已測試確认受影響的发行版及核心版本包括:
Ubuntu 24.04 LTS:核心 6.17.0-1007-aws
Amazon Linux 2023:核心 6.18.8-9.213.amzn2023
RHEL 10.1:核心 6.12.0-124.45.1.el10_1
SUSE 16:核心 6.12.0-160000.9-default
根據 Xint Code 报告,此漏洞的根本原因在於 2017 年引入 algif_aead.c 的就地(in-place)AEAD 優化(提交 72548b093ee3),導致来自 splice() 的頁面快取頁被置於可寫入的分散清單中,与 authenticsn AEAD 封裝器的臨时寫入操作共同構成可利用路徑。
協调披露时间表与修補措施
根據 Xint Code 4 月 29 日披露的时间表,CVE-2026-31431 於 2026 年 3 月 23 日报告至 Linux 核心安全團队,補丁(a664bf3d603d)於 3 月 25 日完成審核,4 月 1 日提交至主線核心,4 月 22 日 CVE 正式分配,4 月 29 日公开披露。
根據 Xint Code 报告,修補措施包括:更新发行版核心软體包(主流发行版应通过正常核心更新发布此補丁)。如需立即緩解,可通过 seccomp 阻止 AF_ALG 套接字創建,或執行以下命令將 algif_aead 模組列入黑名單:echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf。
根據 Xint Code 报告,此漏洞亦影響跨容器边界的场景,因頁面快取由主机共享;Kubernetes 容器逃逸的相关影響將在第二部分进行披露。
常见问題
CVE-2026-31431 的影響範圍为何?
根據 Xint Code 4 月 29 日报告及慢雾 23pds 4 月 30 日告警,CVE-2026-31431 影響 2017 年以来发布的幾乎所有主流 Linux 发行版,包括 Ubuntu、Amazon Linux、RHEL 及 SUSE,732 位元組 Python 腳本可在无需特權的情況下取得 root 權限。
此漏洞的臨时緩解方法是什麼?
根據 Xint Code 4 月 29 日报告,可通过 seccomp 阻止 AF_ALG 套接字創建,或執行 echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf 將 algif_aead 模組列入黑名單以立即緩解。
CVE-2026-31431 的補丁何时发布?
根據 Xint Code 4 月 29 日披露的时间表,補丁(a664bf3d603d)於 2026 年 4 月 1 日提交至 Linux 主線核心,主流发行版应通过正常核心软體包更新发布此補丁。
相关文章