0x00 背景介绍
4月30日,天融信阿尔法实验室监测到Linux Kernel修复了一个本地权限提升漏洞(CVE-2026-31431),其被称为Copy Fail。该漏洞利用复杂度较低,且影响过去9年内大多数主流Linux发行版,对云服务器、容器宿主机、多租户环境等构成较高风险。此漏洞的PoC和细节已公开,由于此漏洞影响范围极广,建议受影响用户立即修复该漏洞。
Linux内核是一个开源、宏内核但支持动态模块加载的操作系统核心,负责管理硬件资源并为上层软件提供运行环境。它通过进程调度、内存管理、虚拟文件系统、网络协议栈和设备驱动等关键子系统,实现对CPU、内存、磁盘及外设的抽象与调度,并提供稳定、安全和高效的接口供应用程序使用。凭借高可移植性、丰富的驱动支持和强大的社区协作,其已成为从嵌入式设备到超级计算机、从安卓系统到云服务器广泛采用的基础核心。
CVE-2026-31431是Linux Kernel加密子系统中的一个逻辑缺陷漏洞,可导致本地权限提升。经过身份认证的本地低权限攻击者可利用AF_ALG加密接口与splice()系统调用的组合,向任意可读文件的页缓存写入受控的4字节数据,从而篡改setuid程序,无需条件竞争即可直接获得root权限。
漏洞复现(复现环境Ubuntu 22.04.4 LTS):
72548b093ee3 <= Linux Kernel commit < a664bf3d603d已知受影响的发行版:
Ubuntu 22.04 LTS
Ubuntu 24.04 LTS
Ubuntu 26.04 LTS
Amazon Linux 2023
Red Hat Enterprise Linux 10
Red Hat Enterprise Linux 9
Red Hat Enterprise Linux 8
SUSE 16
Kali Linux 2026.1
Debian 13
Linux Mint 22.3
Manjaro 26.0.4
如果暂时无法升级,可禁用 algif_aead 内核模块:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
rmmod algif_aead 2>/dev/null || true
2、升级修复
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,升级至安全版本。
Linux Kernel 6.18: 升级至 6.18.22 或更高版本
https://git.kernel.org/stable/c/fafe0fa2995a0f7073c1c358d7d3145bcc9aedd8
Linux Kernel 6.19: 升级至 6.19.12 或更高版本
https://git.kernel.org/stable/c/ce42ee423e58dffa5ec03524054c9d8bfd4f6237
Linux Kernel 7.0: 升级至 7.0 (或应用相关补丁)
https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5
旧版本内核:请应用官方 Commit a664bf3d603d (Revert to operating out-of-place)。
针对 Ubuntu、Red Hat Enterprise Linux 等用户,发行版官方暂未全部发布安全更新,请及时关注官方安全公告:
Ubuntu 安全公告:
https://ubuntu.com/security/CVE-2026-31431
Red Hat 安全公告:
https://access.redhat.com/security/cve/cve-2026-31431
Debian 安全公告:
https://security-tracker.debian.org/tracker/CVE-2026-31431
0x06 声明
天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。