最近安全圈又炸了——一个潜伏近9年的Linux内核漏洞被公开,利用门槛低到离谱,更关键的是:国内主流信创操作系统几乎全军覆没。
01 这是个什么漏洞?
漏洞编号叫 CVE-2026-31431,安全研究员给它起了一个很形象的名字——"Copy Fail"。
问题的根源出在 Linux 内核的 crypto: algif_aead 模块上。简单来说,就是这个模块在处理 AEAD(关联数据加密)操作时存在逻辑缺陷,导致攻击者可以通过 AF_ALG 加密接口,向系统中任意可读文件的页缓存写入受控数据。
翻译成人话就是:一个普通用户,可以利用这个漏洞篡改系统中的特权程序(比如 su、sudo 之类的 setuid 二进制文件),从而把自己提升为 root 权限。
最离谱的是——整个利用过程只需要大约 10 行 Python 代码。
⚠️ 漏洞类型:本地权限提升(LPE)| 严重程度:高危 | 利用难度:极低
02 信创系统:几乎全中招
这才是最让人头疼的地方。经过人工实测验证,以下国产信创操作系统确认存在此漏洞:
🔴 UOS 统信 —— 版本 1070、1060 受影响
🔴 麒麟 Kylin —— 版本 V11、V10 受影响(政府/军工广泛使用)
🔴 openEuler —— 版本 24.03 (LTS-SP1) 受影响(华为出品)
🔴 Anolis OS 龙蜥 —— 版本 8.9 受影响(阿里云出品)
🔴 OpenCloudOS —— 版本 9.4 受影响(腾讯出品)
🔴 NewStartOS 新支点 —— 版本 6.06 受影响
🔴 CTyunOS —— 版本 V4.0 25.07 受影响(中国电信)
基本把国内主流的国产操作系统一网打尽了。如果你所在单位正在推进信创替代,这个问题值得高度重视。
03 主流发行版也没跑掉
别以为只有国产系统才中招,国际主流发行版同样在射程范围内:
▶ Ubuntu 22.04 —— 受影响(用户基数最大的桌面发行版之一)
▶ Debian 13 —— 受影响(众多发行版的"上游源头")
▶ Oracle Linux 10.0 —— 受影响
好消息是,以下几个版本确认不受影响:
✅ RHEL 7.9 —— 不受影响
✅ CentOS 7 —— 不受影响
✅ CUOS 4 —— 不受影响(联通出品)
✅ Ubuntu 17.04 —— 较早版本不受影响
注意到规律了吗?老版本反而不受影响。因为这个漏洞涉及的代码是近9年才引入的,所以一些长期未升级的老系统反而"因祸得福"。
04 为什么这个漏洞这么危险?
我总结了三个关键原因:
第一,利用门槛极低。不需要复杂的内核知识,不需要编写C语言exploit,10行Python脚本搞定。这意味着什么?意味着会写几行代码的人都能用。
第二,影响面极广。从2017年左右引入的问题代码,覆盖了过去9年内的绝大多数Linux发行版。不管你是用云服务器还是桌面系统,大概率都在范围内。
第三,后果严重。本地提权到root意味着什么?意味着攻击者一旦获得系统的普通用户访问权限(比如通过Web漏洞、弱密码等),就可以直接拿到最高权限,为所欲为。
05 如何自查自己的系统?
微步在线提供了一个通用 PoC 验证工具,可以在非生产环境下检测你的系统是否受影响。
⚠️ 重要提示:严禁在线上/生产环境运行验证程序!该程序可能会损坏系统 su 命令的内存映像!请在测试环境或虚拟机中进行!
验证命令如下:
curl -fsSL https://onesandbox-release.threatbook.cn/poc/CVE-2026-31431/copyfail -o /tmp/copyfail && chmod +x /tmp/copyfail && /tmp/copyfail && rm -f /tmp/copyfail
如果显示存在漏洞,建议立即联系对应操作系统厂商获取安全补丁,或者关注内核版本的更新公告。
06 写在最后
说实话,这种"潜伏多年才被发现"的内核级漏洞,每次出来都让人后背发凉。它提醒我们几个事情:
▶ 信创替代不是装了个国产系统就完事了,安全跟进同样重要
▶ 最小权限原则永远是金科玉律——不要给不必要的 root 权限
▶ 及时关注安全通告和补丁更新,这是运维的基本功
▶ 生产环境和测试环境要严格隔离,千万别在生产机上乱跑 PoC
本文参考来源:微步情报局原文及公开技术资料。漏洞信息已公开,请各厂商尽快排查修复。
— END —
如果觉得有用,欢迎转发给你的运维同事 👇