尊敬的用户:
近日Linux内核披露了高危漏洞 CVE-2026-31431(Copy Fail,CVSS 7.8),该漏洞涉及 Linux 内核 algif_aead 模块(AF_ALG 加密接口)相关路径。攻击者在具备本地普通用户或容器内代码执行权限的情况下,可能利用该漏洞提升系统权限。我公司飞思网巡IT运维产品使用的 Anolis 8.X、 OpenEuler 22.03 LTS SP4等操作系统均在此次受影响范围内,该漏洞为操作系统内核漏洞,请务必按系统厂家相关方案及时更新补丁,或根据以下方案确认并修复相关漏洞。
一、检查系统及当前版本
cat /etc/os-release 检查系统版本
uname -r 检查内核版本
根据输出结果的系统版本与内核版本,确定影响程度与解决方案
系统版本 | 影响程度 | 在线更新解决方案(推荐) | |
openEuler22.03-LTS-SP4 | 5.10.0-265.0.0.168.oe2203sp4.x86_64 | 影响 | sudo dnf clean all && sudo dnf makecache sudo dnf update kernel -y reboot |
Anolis8.10 | 5.10.134-19.an8.x86_64 | sudo dnf clean all && sudo dnf makecache sudo dnf update kernel -y reboot | |
Anolis8.6 Anolis8.8 | 4.19.91-28.an8.x86_64 | 在线yum切换5.10内核(见在线升级方案3) | |
openEuler22.03-LTS-SP4 | 4.19.232 | 无影响 | FM1000型(ARM嵌入式设备)不受影响 |
https://anas.openanolis.cn/errata/detail/ANSA-2026:0565[root@localhost ~]#sudo dnf clean all && sudo dnf makecache
[root@localhost ~]#sudo dnf update kernel -y
[root@localhost ~]#sudo reboot
在命令行使用以下命令:
yum update --advisory ANSA-2026:0565
2. OpenEuler 22.03 LTS SP4
在命令行使用以下命令:
[root@localhost ~]#sudo dnf makecache
[root@localhost ~]#sudo dnf update kernel -y
[root@localhost ~]#sudo reboot
3. 在线内核切换(必须为龙蜥Anolis8.6-8.8,内核为4.19版本)
当前官方尚未提供4.19修复补丁,如需更新,可内核切换到5.10 进行在线升级
打开 kernel-5.10 仓库
vim /etc/yum.repos.d/AnolisOS-kernel-5.10.repo
编辑该文件
[kernel-5.10]
name=AnolisOS-$releasever - Kernel 5.10
baseurl=http://mirrors.openanolis.cn/anolis/$releasever/kernel-5.10/$basearch/os
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-ANOLIS
gpgcheck=1
确认内核(确定看到5.10的内核)
yum list kernel
安装内核
yum install kernel
yum -yinstall kernel-devel
yum -yinstall kernel-headers
重建GRUB
ls -lh /boot/vmlinuz-5.10*
grubby --set-default /boot/vmlinuz-5.10.134-*.an8.x86_64
grub2-mkconfig -o /boot/grub2/grub.cfg
reboot
三、离线升级方案(无法连接互联网,请按以下步骤操作):
1、下载修复 CVE-2026-31431 kernel 及 kernel-core 等关联 rpm 包。
2、离线包下载地址:
openEuler-22.03-LTS-SP4 (x86)安装包:
https://pan.baidu.com/s/1LVSbNtsaQuhTUtkTpVIYQg?pwd=rehqAnolis8.10(5.10以上内核) :
https://anas.openanolis.cn/errata/detail/ANSA-2026:05653、将上面下载的Euler_x86.tar(以Euler为例)包上传到系统/opt目录下
4、在命令行执行以下命令
[root@monitor ~]# cd /opt
[root@monitor opt]# tar xvf Euler_x86.tar
[root@monitor opt]# rpm -ivh *.x86_64.rpm --force --nodeps
四、修复验证
龙蜥:5.10.134-19.3.1.an8.x86_64
欧拉:5.10.0-312.0.0.215.oe2203sp4.x86_64
以上为x86版本内核号,确认内核版本已变更为官方公告中修复该漏洞的对应版本。
附:官方修复地址:
https://anas.openanolis.cn/errata/detail/ANSA-2026:0566https://www.openeuler.openatom.cn/zh/security/security-bulletins/detail/?id=openEuler-SA-2026-2175确认内核版本已变更为官方公告中修复该漏洞的对应版本。
其他Linux发行版本请参考官网通知,或联系飞思安诺技术支持。联系电话4006668009。
强烈建议尽快安排内核升级重启。及时完成修复,避免安全风险。或联系深圳飞思安诺网络技术有限公司,我们将针对维保用户提供免费升级内核服务。
深圳飞思安诺网络技术有限公司
二〇二六年五月六日
深圳飞思安诺网络技术有限公司
网址:www.freesinno.com电话:400-666-8009邮箱:master@freesinno.com
