【Linux高危漏洞】CVE-2026-31431 "Copy Fail"——732字节获取所有主流Linux发行版Root权限

eric2013

【高危漏洞】CVE-2026-31431 "Copy Fail"——732字节获取所有主流Linux发行版Root权限

安全研究团队 Xint Code 于2026年4月29日披露严重漏洞 CVE-2026-31431，代号 "Copy Fail"。

攻击者无需任何特权，仅凭一段 732字节的Python脚本，即可在 Ubuntu、Amazon Linux、RHEL、SUSE 等主流Linux发行版上获取 root权限。

漏洞已在内核中静默存在约 9年（2017–2026）。

─── 受影响范围 ───

发行版	内核版本
Ubuntu 24.04 LTS	6.17.x
Amazon Linux 2023	6.18.x
RHEL 10.1	6.12.x
SUSE 16	6.12.x

凡 2017年以后发布的主流Linux发行版均受影响。

─── 技术原理（简版）───

三个独立的内核改动交叉导致漏洞成立：

• 2017年内核优化：AF_ALG（加密套接字）引入原地操作，通过 splice() 将文件页缓存页引入可写的输出分散列表
• authencesn 越界写入：该AEAD加密模板处理IPsec ESN序列号时，会向超出边界的位置写入4字节，恰好落在页缓存页上
• 结果：攻击者可精确控制写入哪个文件、写什么值、写哪个偏移，实现对 setuid 二进制的任意篡改
  

─── 为什么特别危险 ───

• 无需竞争条件，100% 确定性触发，不像 Dirty Cow/Dirty Pipe 需要反复竞争
• 不会崩溃系统，利用过程稳定可靠
• 磁盘文件不变，仅篡改内存页缓存，传统文件完整性校验（md5/sha）完全检测不到
• 可逃逸容器，页缓存跨容器边界共享，Kubernetes节点同样受威胁
• 一套脚本跑遍所有发行版，无需针对版本调整偏移或重新编译
  

─── 修复与缓解 ───

✔ 推荐：立即更新内核
主流发行版已通过常规内核更新推送修复，请尽快执行系统更新。

临时缓解（无法立即更新时）：
禁用 algif_aead 内核模块可阻断攻击路径，对大多数业务无影响：

1. echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
   
2. rmmod algif_aead 2>/dev/null

复制代码

─── 披露时间线 ───

• 2026-03-23　向Linux内核安全团队报告
• 2026-04-01　补丁合入主线内核
• 2026-04-22　分配 CVE-2026-31431
• 2026-04-29　公开披露
  

原文链接：https://xint.io/blog/copy-fail-linux-distributions