近日,Linux 内核曝出一个潜伏多年的高危本地权限提升漏洞 - CVE-2026-31431。
已公开的验证代码仅几十行,普通用户即可提权至root,且攻击行为不会在磁盘上留下痕迹,传统安全工具难以检测。云服务器、K8s 集群、容器环境均面临严重威胁!
一、漏洞核心信息
| |
|---|
| 漏洞编号 | |
| 漏洞来源 | Linux 内核加密子系统 algif_aead 模块 |
| 威胁类型 | |
| 风险等级 | |
| 影响范围 | Linux 内核 Linux 4.17 ~ 6.18.21、6.19.0 ~ 6.19.11 |
| 利用条件 | |
二、漏洞核心特点
影响范围很大:该漏洞从 2017 年 Linux 内核 4.17 版本就已引入,市面上主流 Linux 发行版基本都受波及,包括 Ubuntu、RHEL、Debian、Rocky、AlmaLinux、Alibaba Cloud Linux 、Amazon Linux 2023等。
利用门槛很低:漏洞利用代码精简短小,十几行就能实现攻击,而且能跨不同 Linux 发行版稳定生效。
隐蔽性很强:攻击仅篡改内核页缓存,不修改磁盘原始文件、无磁盘落地痕迹,传统文件完整性工具无法检测。
容器逃逸风险:由于容器共享宿主机内核,攻击者只要进入容器,就能利用该漏洞突破容器隔离、逃逸控制,直接拿下宿主机权限,对 K8s 集群、多租户云服务器平台危害很大。
三、自查命令
1. 查看内核版本
输出版本在 4.17 至 6.18.21、6.19.0 至 6.19.11 范围,存在漏洞风险。2. 检查风险模块是否加载
有输出,模块已加载。
如果没有输出,也可能是当前模块没加载。可以通过检查内核编译配置确认:
grep CONFIG_CRYPTO_USER_API_AEAD /boot/config-$(uname -r)
如果输出 =y 或 =m,说明系统支持该模块,但不等同于存在漏洞风险。结论:内核版本在受影响范围 + 模块已加载(或可被自动加载) = 漏洞风险真实存在
四、修复方案
方案一:官方内核升级(推荐,根本解决)
将当前内核升级至仓库中的最新版本(一般都已修复):
Debian/Ubuntu
sudo apt updatesudo apt upgrade -y # 自动安装所有安全更新和补丁,包括内核sudo reboot
RHEL/Rocky/AlmaLinux
sudo dnf update kernel -ysudo reboot
⚠️ 升级后必须重启,新内核才能生效。
方案二:临时缓解(无法立即重启时)
禁用漏洞入口模块 algif_aead(一般不影响加密服务):
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.confrmmod algif_aead 2>/dev/null || true
注意:在 RHEL 系列发行版(包括 RHEL、Rocky Linux、CentOS 8+)上,algif_aead 被静态编译进内核(CONFIG_CRYPTO_USER_API_AEAD=y),这意味着modprobe.d 配置文件无法阻止模块加载、rmmod 无法卸载模块。
建议直接按方案一来。或者需要使用 GRUB 启动参数屏蔽:
sudo grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"sudo reboot
请各位运维同仁们参考排查修复~