公开泄露的利用代码可有效攻击一个尚未修复的漏洞,使攻击者获得几乎所有 Linux 版本的 root 权限。防御者们正争相阻止数据中心和个人设备遭受严重攻击。
CopyFail 漏洞:一键获得 root 权限
安全公司 Theori 的研究人员于周三晚间公布该漏洞及其利用代码,此前五周已私下披露给 Linux 内核安全团队。该漏洞编号 CVE-2026-31431,名为 CopyFail,属于本地权限提升漏洞,允许非特权用户将自身权限提升至管理员级别。
CopyFail 危害尤其严重:攻击者只需一段漏洞利用代码即可发动攻击,无需任何修改即可在所有易受攻击发行版上运行。攻击者可用它入侵多租户系统、突破基于 Kubernetes 或其他框架的容器,并创建恶意拉取请求将漏洞利用代码导入 CI/CD 工作流程。
为什么“本地权限提升”如此危险
研究员乔林·施赖弗斯霍夫( Jorin Schrijvershof )解释:“攻击者即使仅以最普通的无特权用户身份,只要有办法在目标机器上运行代码,就能将自己提升到 root 权限。获得 root 权限后,他们可以读取所有文件、安装后门、监视所有进程,并跳转到其他系统。”
Theori 发布的同一 Python 脚本在 Ubuntu 22.04、Amazon Linux 2023、SUSE 15.6 和 Debian 12 上稳定运行。2026 年,“本地”涵盖范围广泛:共享 Kubernetes 节点上的每个容器、共享主机上的每个租户、运行不受信任拉取请求代码的每个 CI/CD 作业、Windows 笔记本电脑上的每个 WSL2 实例、每个获得 shell 访问权限的容器化 AI 代理——它们都与邻近容器共享同一个 Linux 内核。内核本地进程扩展( LPE )打破这种边界。
实际威胁链如下:攻击者利用已知 WordPress 插件漏洞获得 shell 访问权限,运行 copy.fail PoC 漏洞利用程序,立即获得主机 root 权限,所有其他租户随之暴露。该漏洞本身不让攻击者直接进入目标主机,但改变攻击者进入后“接下来十秒钟内”发生的一切。
技术原理与严重性评估
该漏洞源于内核加密 API 中一个 “直线”逻辑缺陷。许多利用竞争条件和内存损坏缺陷的攻击程序在不同内核版本或发行版上无法始终成功。CopyFail 利用逻辑缺陷,可靠性并非概率性——同一脚本可在不同发行版运行,没有竞争窗口,也没有内核偏移。
CopyFail 得名原因:用于 IPsec 扩展序列号的 AEAD 认证模板进程实际没有按预期复制数据。它将调用方目标缓冲区当作临时文件,在合法输出区域之外写入 4 个字节且从未恢复这些字节。其他安全专家称其为 “近年来内核中最严重的获取 root 权限的漏洞”。上次此类严重 Linux 漏洞是 2022 年 Dirty Pipe 和 2016 年 Dirty Cow,两者都曾被积极利用。
补丁状态与协调争议
内核团队已在 7.0、6.19.12、6.18.12、6.12.85、6.6.137、6.1.170、5.15.204 和 5.10.254 版本修复该漏洞。但漏洞利用代码公布时,仅少数 Linux 发行版采用这些修复。已知已修复的发行版包括 Arch Linux 和 RedHat Fedora。已发布缓解指南的发行版包括 SUSE、RedHat、Ubuntu。
披露截止日期未显示 Theori 曾与发行版联系。由于漏洞利用程序在修复后发行版发布前已存在,此次披露实际相当于泄露一个零日漏洞。安全专家批评:“负责披露的机构在漏洞协调方面做得极其糟糕。他们在报告中列出 4 家受影响厂商并建议读者应用补丁,但发布报告前根本未核实任何一家厂商真正发布补丁,结果没有一家发布。”
用户应对建议
CopyFail 漏洞构成严重威胁且极有可能被积极利用,所有 Linux 用户应立即检查系统。各发行版已提供缓解指南,请向相应发行商查询具体状态。