微步情报局监测到,Linux Kernel 被披露存在本地权限提升漏洞,漏洞编号 CVE-2026-31431,代号 “Copy Fail”。该漏洞源于内核 crypto: algif_aead 模块在处理 AEAD操作时的逻辑缺陷,可导致本地低权限攻击者通过 AF_ALG 加密接口向任意可读文件的页缓存(page cache)写入受控的少量数据(PoC 中为 4 字节块),进而篡改 setuid 等特权二进制文件,实现本地权限提升至 root。
目前该漏洞细节及 PoC 已公开,利用门槛极低(仅需约 10 行 Python 脚本),影响过去 9 年内大多数主流 Linux 发行版,对云服务器、容器宿主机、多租户环境等构成较高风险。
目前已知的影响面有:
1. 共享服务器(开发机、跳板机、构建服务器):任意普通用户即可直接提权为 root
2.Kubernetes 和容器集群:单个被攻破的 Pod 可逃逸至宿主机
3. CI/CD 执行器(GitHub Actions、GitLab Runner、Jenkins 等):恶意 Pull Request 可直接获得 Runner 的 root 权限4. 运行用户代码的云平台(Notebook、Agent 沙箱、Serverless 函数等):租户可直接提升至宿主机 root 权限建议受影响的用户尽快修复。
综合处置优先级:中风险
| |
| commit 72548b093ee3 <=version< commit a664bf3d603d |
| |
官方修复方案
官方已发布修复方案,请访问链接下载:https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5
微步漏洞情报于2026-04-22收录该漏洞。
微步下一代威胁情报平台NGTIP及X情报社区已于漏洞收录时向漏洞订阅用户推送该漏洞情报,并将持续推送后续更新;对于已经录入资产的用户,支持实时自动化排查受影响资产。