Предупреждение от SlowMist: уязвимость Linux Copy Fail крайне проста для эксплуатации, рекомендуется как можно скорее обновить ядро

Главный специалист по информационной безопасности SlowMist 23pds опубликовал в X пост 30 апреля, сообщив, что в Linux-системах обнаружен логический уязвимость под названием «Copy Fail» (CVE-2026-31431), которую крайне легко использовать; SlowMist рекомендует пользователям как можно быстрее обновить ядро.

Базовая информация об уязвимости и затронутый диапазон

Согласно техническому отчёту исследовательской команды Xint Code от 29 апреля, CVE-2026-31431 — это логическая уязвимость в шаблоне ядра Linux для проверки и шифрования (AEAD) algif_aead.c. Она использует цепочечные вызовы через связку AF_ALG + splice() и позволяет непривилегированным локальным пользователям выполнять детерминированную запись под контролем 4-байтового значения в кэш страниц произвольных файлов, которые можно читать в системе, после чего, нарушив setuid-бинарь, получить права root.

Согласно отчёту Xint Code, проведённые тесты подтвердили, что затронуты выпуски и версии ядра, включая:

Ubuntu 24.04 LTS：ядро 6.17.0-1007-aws

Amazon Linux 2023：ядро 6.18.8-9.213.amzn2023

RHEL 10.1：ядро 6.12.0-124.45.1.el10_1

SUSE 16：ядро 6.12.0-160000.9-default

Согласно отчёту Xint Code, первопричина этой уязвимости заключается в том, что в 2017 году в algif_aead.c была введена оптимизация AEAD на месте (in-place) (commit 72548b093ee3). Это привело к тому, что страницы кэша, полученные из splice(), были помещены в записываемую разнесённую (scatter) таблицу, а совместно с временной операцией записи оболочки authenticsn AEAD образуют эксплуатируемый путь.

График координированного раскрытия и меры по исправлению

Согласно графику раскрытия, опубликованному Xint Code 29 апреля, CVE-2026-31431 была сообщена 23 марта 2026 года в команду безопасности ядра Linux. Патч (a664bf3d603d) завершил проверку 25 марта, 1 апреля был отправлен в основную (mainline) ветку ядра, 22 апреля был официально присвоен CVE, а 29 апреля состоялось публичное раскрытие.

Согласно отчёту Xint Code, меры по исправлению включают: обновление пакетов ядра в дистрибутивах (основные дистрибутивы должны выпустить этот патч через обычные обновления ядра). Для немедленного смягчения можно запретить создание сокетов AF_ALG через seccomp или выполнить следующие команды, чтобы добавить модуль algif_aead в чёрный список: echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf.

Согласно отчёту Xint Code, эта уязвимость также затрагивает сценарии за пределами границ контейнеров, поскольку страницы кэша к ним разделяются с хостом; связанные последствия для выхода из контейнеров Kubernetes будут раскрыты во второй части.

Часто задаваемые вопросы

Каков диапазон влияния CVE-2026-31431?

Согласно отчёту Xint Code от 29 апреля и предупреждению SlowMist 23pds от 30 апреля, CVE-2026-31431 затрагивает практически все основные Linux-дистрибутивы, выпущенные с 2017 года, включая Ubuntu, Amazon Linux, RHEL и SUSE; 732-байтовый Python-скрипт позволяет получить права root без необходимости в привилегиях.

Какое временное смягчение предусмотрено для этой уязвимости?

Согласно отчёту Xint Code, можно запретить создание сокетов AF_ALG через seccomp или выполнить команду echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf, чтобы добавить модуль algif_aead в чёрный список и немедленно смягчить воздействие.

Когда выпустят патч для CVE-2026-31431?

Согласно графику, раскрытому Xint Code 29 апреля, патч (a664bf3d603d) был отправлен в Linux mainline 1 апреля 2026 года; основные дистрибутивы должны выпустить этот патч через обычные обновления пакетов ядра.