4月29日至30日,安全研究团队Xint Code公开披露了Linux内核高危本地权限提升漏洞CVE-2026-31431,漏洞代号"Copy Fail"。腾讯云、阿里云等各大云厂商安全团队随即发出高风险预警。目前PoC已公开于GitHub,利用门槛极低,服务器管理员需立即评估风险。
漏洞原理:一处2017年的内核"优化"酿成今日隐患
这个漏洞的根源,可以追溯到2017年Linux内核Crypto API引入的一项"就地加密"优化(提交 72548b093ee3)。问题出在 algif_aead 模块:当用户程序通过AF_ALG套接字(内核加密接口)调用AEAD解密,同时使用 splice() 传入目标文件页缓存时,authencesn 算法会在解密过程中,向缓冲区末尾偏移位置写入4字节临时数据——这4字节恰好越界,落入了后续链入的文件页缓存中。
简单说:攻击者可以利用这条路径,精准覆写任意可读文件(例如 /usr/bin/su 等setuid程序)的内存页,从而实现从普通用户到root权限的稳定提升。整个过程无需竞争条件,无需重试,可重复触发,这在内核提权漏洞中属于相当罕见的"高质量"漏洞。
哪些系统受影响?
| 操作系统 | 受影响版本 |
|---|---|
| Ubuntu | 24.04 LTS |
| Red Hat Enterprise Linux | 8 / 9 / 10 |
| Amazon Linux | 2023 |
| SUSE Linux | 16 |
判断依据:内核提交范围在 72548b093ee3 至 a664bf3d603d 之间的版本均受影响。官方修复已包含在提交 a664bf3d603d 之后的版本中,但截至预警发出时,Ubuntu、RHEL等主流发行版的软件仓库尚未全部推送包含修复的内核包,需持续关注官方安全公告。
PoC已公开,利用门槛极低
这是此次漏洞最令管理员担忧的一点:安全研究团队在披露的同时,直接将完整PoC代码发布至GitHub(theori-io/copy-fail-CVE-2026-31431)。这意味着即使是没有深厚内核知识的攻击者,只需要能登录系统(哪怕是最低权限的普通账户),就可以直接复制运行代码实现提权。在云主机、共享服务器、企业内网环境中,这种"本地用户可提权"的漏洞危害性丝毫不亚于远程代码执行漏洞。
立即处置建议
根据目前情况,建议按以下优先级处置:
- 优先:升级内核——关注所用发行版官方安全公告(Ubuntu USN、Red Hat RHSA),一旦包含修复的内核包推送,立即更新并重启。
- 临时缓解:禁用algif_aead模块——执行
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf,并重启加载配置。注意:此操作会影响通过AF_ALG接口使用AEAD加密的应用,需提前评估业务影响。 - 缩小暴露面——审查服务器上的普通用户账户权限,清理不必要的账户和sudo权限。
- 关注云厂商补丁——阿里云、腾讯云等已发出安全公告,部分云实例的内核补丁会通过在线内核热补(kpatch/livepatch)机制推送,无需重启,请关注控制台通知。
从我们日常维护客户Linux服务器的经验来看,"等系统自动更新"的策略在这类高危漏洞面前是远远不够的。PoC公开后,从漏洞披露到实际攻击活动出现,窗口期往往不超过48小时。如果您管理着对外提供服务的Linux服务器,建议在本周内完成排查和修复,不要等到下次例行维护周期。