导语4月30日,OpenCloudOS 社区安全 SIG 监测到 Linux Kernel 披露本地权限提升漏洞 CVE-2026-31431。该漏洞涉及 Linux 内核 algif_aead 模块(AF_ALG 加密接口)相关路径。攻击者在具备本地普通用户或容器内代码执行权限的情况下,可能利用该漏洞提升系统权限。
鉴于此漏洞影响范围较大,建议您及时开展风险自查;如确认受影响,请根据本文提供的临时缓解措施进行防护,并持续关注后续修复版本发布。
一、 漏洞详情
Linux 内核的 algif_aead 模块(AF_ALG 加密接口)是用户态程序使用内核 AEAD(带关联数据的认证加密)算法的网络协议族接口。
该漏洞源于 2017 年引入的 authencesn 解密路径原地(in-place)操作优化存在逻辑缺陷。在未修复的 Linux 内核中,攻击者可通过创建 AF_ALG 套接字,并结合 splice() 与 authencesn 模板触发缺陷,向任意可读文件的 page cache 写入受控字节,最终可能篡改 setuid 可执行文件并获取 root 权限。
二、 受影响的 OpenCloudOS 版本
经评估,以下 OpenCloudOS 版本需要重点关注:
三、临时缓解措施
注意:该漏洞利用了 algif_aead 模块。若您的业务使用了该模块,请结合业务情况充分评估后再禁用。用户需要在 root 权限下完整执行下述所有流程以缓解漏洞威胁。生产环境操作前建议完成备份,并优先在测试环境验证。
1. 添加规则禁止加载 algif_aead.ko
echo"install algif_aead /bin/false"> /etc/modprobe.d/block-algif.conf
该命令执行后,会禁止algif_aead模块后续被加载
2. 确保algif_aead模块已卸载
rmmod algif_aead
提示“rmmod: ERROR: Module algif_aead is not currently loaded” 表示algif_aead模块当前未加载,属正常现象。
然后执行:
lsmod |grep algif_aead
如果无输出,则algif_aead模块确认已卸载。
四、漏洞修复方案
OpenCloudOS 正在推进该漏洞修复。修复完成后, OpenCloudOS将第一时间将官方漏洞补丁推送至系统仓库。届时,用户可通过升级命令将内核升级至安全版本,以完成漏洞修复。
1. 优先完成影响自查;
2. 如确认受影响,先执行临时缓解措施降低风险;
3. 持续关注 OpenCloudOS 官方公告,及时获取修复版本和升级指引;
4. 生产环境升级前做好备份和回滚准备。
OpenCloudOS 开源社区是由操作系统、云平台、软硬件厂商与个人携手打造中立开放、安全稳定且高性能的 Linux 操作系统及生态。目前已实现从源社区、商业版、到社区稳定版全链路覆盖,旨在输出经海量业务验证的企业级稳定操作系统版本,为行业解决国产操作系统上下游供应问题,促进基础软件可持续发展。点击下方图片,了解加入社区权益与方式↓
