⚠️高危预警
2026年4月29日,一个影响范围极广的Linux本地提权漏洞 CVE-2026-31431(代号Copy Fail)被公开披露。攻击者仅需一个普通用户权限,就能稳定获得root权限,整个过程无需竞争窗口、无需内核偏移、无需特殊工具。
受影响时间跨度:2017年 ~ 2026年4月补丁发布前 —— 近8年的所有Linux内核版本。
影响场景:
·任意Linux服务器、工作站
·容器环境(Kubernetes/Docker):容器内攻击者可逃逸至宿主机
·CI/CD Runner(GitHub Actions、GitLab CI等):恶意PR可拿下Runner宿主机
·云多租户环境(Notebook、Serverless等):租户可提权为宿主机root
处置优先级:⚡极高
漏洞位于Linux内核加密子系统的 authencesn 模块。2017年,为了优化AEAD(认证加密)操作的性能,开发者引入了一个“原地(in-place)”处理逻辑。但该优化存在一处致命缺陷:在某些条件下,本应是只读的页缓存(page cache)页面,被错误地放入了可写的散列表(scatterlist)。
攻击者通过组合两个系统调用:
·AF_ALG 套接字(暴露内核加密API)
·splice()(零拷贝数据传输)
即可触发漏洞,对任意只读文件(如 /usr/bin/su 这样的setuid程序)的页缓存进行4字节任意写入。篡改程序逻辑后,运行该程序就能获得root shell。
利用成熟度:EXP已公开,仅732字节,100%稳定复现。实测演示如下:
https://via.placeholder.com/600x200?text=%5B%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0%E5%8A%A8%E5%9B%BE/%E6%88%AA%E5%9B%BE%5D
发行版 | 受影响内核版本(示例) |
Ubuntu 24.04 LTS | 6.17.0-1007-aws 及以下 |
Amazon Linux 2023 | 6.18.8-9.213.amzn2023 及以下 |
RHEL 14.3 | 6.12.0-124.45.1.el10_1 及以下 |
SUSE 16 | 6.12.0-160000.9-default 及以下 |
Debian / Arch / Fedora / Rocky / Alma / Oracle | 同期内核版本均受影响 |
通用判断:如果你的Linux内核是在2017年至2026年4月29日之间构建的,大概率存在漏洞。
️
✅方案一:升级内核(推荐)
各大发行版已陆续发布修复补丁(包含mainline commit a664bf3d603d)。
bash
# Ubuntu / Debian
sudo apt update && sudo apt upgrade linux-image-$(uname -r)
# RHEL / CentOS / Rocky / Alma
sudo dnf update kernel
# Amazon Linux
sudo yum update kernel
# SUSE
sudo zypper update kernel-default
升级后务必重启系统,使新内核生效。
验证是否已修复:
bash
uname -r # 对比发行版公告中的修复版本号
# 或
grep -r "a664bf3d603d" /proc/version
方案二:临时缓解(无法重启时)
禁用 algif_aead 内核模块,阻断漏洞利用路径。
bash
# 立即卸载(当前会话生效)
sudo rmmod algif_aead 2>/dev/null || true
# 永久禁用(重启后仍生效)
echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif.conf
禁用影响评估:
·✅不影响:dm-crypt/LUKS、kTLS、IPsec/XFRM、OpenSSL默认构建、SSH、内核密钥环加密
·⚠️可能影响:显式使用 afalg 引擎的OpenSSL、部分嵌入式加密卸载路径、直接绑定AEAD套接字的应用
检查当前是否有进程使用 AF_ALG:
bash
lsof | grep AF_ALG # 或 ss -xa | grep alg