今天是2026年4月30日,五一小长假前的最后一个工作日。本来大家已经收拾好行李,准备好高铁、飞机票回家、出去浪,结果Linux内核又炸了!
一个叫CVE-2026-31431(官方昵称CopyFail)的本地提权漏洞,正式公开披露。
它能让任意普通用户(甚至容器里的普通进程),用一个732字节的Python脚本,直接把/usr/bin/su改成自己的后门,秒变root用户!
更狠的是:几乎所有主流Linux发行版,从2017年到现在,全中招!
最扎心的是,距离五一假期,只剩下最后几个小时了。
如果说一般的漏洞是“撬锁”,那么这次的CVE-2026-31431简直就是“降维打击”。
根据公开的POC显示,攻击者只需要通过普通用户权限执行一段仅有732字节的Python脚本,就能瞬间获取最高的root权限。
而且还可以完美实现容器逃逸(从K8s容器里直接跳到宿主机)。
Linux内核的crypto/algif_aead模块(AF_ALG接口)在2017年加了个“in-place优化”(commit 72548b09)。
这个优化本来是好心,结果在处理AEAD解密 + splice()的时候,把文件页面缓存的“标签页”错误地链到了可写缓冲区。
攻击者用splice()把/usr/bin/su的页面“喂”进去,再触发一次失败的解密,内核就会往su的页面缓存里强行写4字节(攻击者可控)。
重复几次,就能把su改成一个直接exec /bin/sh的shellcode。
整个过程不需要任何权限,不需要有效tag,不需要root,不需要重启,一键root!
内核版本:
4.14及以后(2017年后发布的所有内核),直到打上补丁前的全中。
已修复版本(上游):
6.18.22+
6.19.12+
7.0及以后
经过安全界快速测试,截至目前发现:
RHEL / CentOS / AlmaLinux / Rocky
Ubuntu(包括 LTS 版本)
Debian
SUSE / openSUSE
Amazon Linux / Oracle Linux / Fedora / Arch……
多数基于 Linux 内核的虚拟化/容器平台
也就是说:
几乎所有主流 Linux 发行版,只要用了受影响内核版本(包括很老的 5.x / 4.x 内核),就都可能被利用。
uname -r
lsmod | grep -E 'algif_aead|af_alg'
如果看到algif_aead已加载 + 内核版本在4.14~6.18.21之间 → 危险!
echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif.conf
sudo rmmod algif_aead 2>/dev/null || true
sudo update-initramfs -u # Ubuntu/Debian系
sudo dracut -f # RHEL/CentOS系
sudo reboot
禁用后,漏洞失效,对业务影响需自行判断(还好algif_aead不算是日常必备模块)
apt update && apt full-upgrade 或
yum update kernel
升级到带修复的内核
官方修复补丁已有,Linux内核提交了修复补丁,撤销了有问题的in-place操作逻辑,并推荐用户尽快升级内核。
https://www.cve.org/CVERecord?id=CVE-2026-31431
https://nvd.nist.gov/vuln/detail/CVE-2026-31431
https://www.openwall.com/lists/oss-security/2026/04/29/23
最后,祝大家五一都能平平安安,服务器永不宕机,系统永无漏洞!
点击关注,后台联系我,获取最新相关资源信息!