Повідомлення від SlowMist: уразливість Linux Copy Fail дуже легко експлуатувати, рекомендується якнайшвидше оновити ядро

Офіцер інформаційної безпеки SlowMist 23pds 30 квітня в дописі в X повідомив про виявлення в Linux системі логічної вразливості під назвою «Copy Fail» (CVE-2026-31431), яку дуже легко експлуатувати. SlowMist радить користувачам якнайшвидше оновити ядро.

Базова інформація про вразливість і коло ураження

Згідно з технічним звітом дослідницької групи Xint Code від 29 квітня, CVE-2026-31431 — це логічна вразливість у шаблоні валідації шифрування з автентифікованими даними (AEAD) ядра Linux algif_aead.c. Вона використовує ланцюжкові виклики через AF_ALG + функцію splice(), що дає змогу неприєважним локальним користувачам виконувати детерміноване кероване записування 4 байтів у сторінковий кеш довільних файлів, доступних для читання системою, а далі — шляхом пошкодження бінарного файлу setuid отримати root-права.

Згідно зі звітом Xint Code, проведено тестування й підтверджено, що ураженими є такі дистрибутиви та версії ядер:

Ubuntu 24.04 LTS: ядро 6.17.0-1007-aws

Amazon Linux 2023: ядро 6.18.8-9.213.amzn2023

RHEL 10.1: ядро 6.12.0-124.45.1.el10_1

SUSE 16: ядро 6.12.0-160000.9-default

Згідно зі звітом Xint Code, першопричина цієї вразливості полягає в оптимізації AEAD «на місці» (in-place), запровадженій у algif_aead.c у 2017 році (коміт 72548b093ee3). Це призвело до того, що сторінки з кешу, отримані через splice(), потрапляють до списку, який можна записувати, а разом із тимчасовими операціями запису в обгортці authenticsn AEAD формують експлуатований шлях.

Таймлайн узгодженого розкриття та заходи з виправлення

Згідно з опублікованим Xint Code 29 квітня таймлайном, CVE-2026-31431 було повідомлено 23 березня 2026 року команді безпеки ядра Linux. Патч (a664bf3d603d) завершив огляд 25 березня, 1 квітня його було подано в головну гілку ядра, 22 квітня — присвоєно CVE, а 29 квітня — оприлюднено.

Згідно зі звітом Xint Code, заходи з виправлення включають: оновлення пакетів із ядром у дистрибутивах (поширені дистрибутиви мають опублікувати цей патч через звичайне оновлення ядер). Для негайного пом’якшення можна за допомогою seccomp заборонити створення AF_ALG сокетів або виконати такі команди, щоб додати модуль algif_aead у чорний список: echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf.

Згідно зі звітом Xint Code, ця вразливість також впливає на сценарії межі між контейнерами: оскільки сторінковий кеш спільний для хоста. Відповідні наслідки щодо втечі з контейнера Kubernetes буде розкрито в другій частині.

Часті запитання

Яка сфера впливу CVE-2026-31431?

Згідно зі звітом Xint Code від 29 квітня та попередженням SlowMist 23pds від 30 квітня, CVE-2026-31431 уражує майже всі основні Linux-дистрибутиви, випущені після 2017 року, зокрема Ubuntu, Amazon Linux, RHEL і SUSE. 732-байтовий Python-скрипт дозволяє отримати root-права без потреби в привілеях.

Який тимчасовий спосіб пом’якшення цієї вразливості?

Згідно зі звітом Xint Code, можна за допомогою seccomp заборонити створення AF_ALG сокетів або виконати echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf, щоб додати модуль algif_aead у чорний список і негайно пом’якшити ризик.

Коли буде опубліковано патч для CVE-2026-31431?

Згідно з таймлайном, оприлюдненим 29 квітня Xint Code, патч (a664bf3d603d) було подано в головне ядро Linux 1 квітня 2026 року. Поширені дистрибутиви мають випустити це оновлення через звичайні пакети оновлення ядра.