免责声明
月落星沉研究室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他违法行为!!!
———— CVE-2026-31431 的故事 ————2026年4月29日,安全研究团队 Theori(通过 Xint Code)公开披露 CVE-2026-31431 漏洞,代号"Copy Fail"。这是一枚存在于 Linux 内核 authencesn 加密模板中的高危本地提权漏洞,CVSS 评分 7.8,攻击复杂度低,无需竞争条件、无需特定内核版本偏移,一个仅 732 字节的 Python PoC 即可在受影响系统上稳定获取 root 权限。———— CVE-2026-31431 的危害 ————一个普通用户,运行一个 732 字节的 Python 脚本,不需要猜内核版本,不需要等竞争窗口,不需要安装任何第三方库——Ubuntu、RHEL、Amazon Linux、SUSE 四大发行版,全部确定性地给出 root shell。这就是 CVE-2026-31431(Copy Fail)的实际效果,几乎通杀2017后发布的全部版本。exp代码打包:https://wwano.lanzouu.com/iBcon3oc868h
Linux 内核安全团队已于 2026 年 4 月 1 日将修复补丁合入主线。修复方案通过 commit a664bf3d603d 恢复 algif_aead 的 out-of-place 操作模式,消除了 in-place 优化引入的页缓存写入路径。
建议各发行版用户通过系统包管理器执行全面更新:
# Ubuntu / Debiansudo apt update && sudo apt upgrade# RHEL / CentOS / Rocky / AlmaLinuxsudo dnf update# SUSEsudo zypper patch
对于暂时无法应用内核更新的系统,可通过禁用 algif_aead 模块实现缓解:
# 创建黑名单配置echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif.conf# 尝试卸载模块(如正在使用需重启)sudo rmmod algif_aead 2>/dev/null || true# 验证模块已卸载lsmod | grep algif_aead