关键词
漏洞
Linux 内核爆出高危漏洞 Copy Fail,追踪编号为 CVE-2026-31431,仅需一个 732 字节的 Python 脚本,就能攻破几乎所有主流 Linux 发行版本,提权至最高的 root 权限。
大多数 Linux 提权漏洞需要满足于竞态条件、内核版本匹配、以及编译好的有效载荷等,而本次曝光的 Copy Fail 漏洞完全消除了这些条件,是一个简单的直线逻辑缺陷。
该漏洞的根源涉及 AF_ALG 加密接口、splice () 系统调用以及 2017 年引入的一项代码优化。这三者结合导致攻击者能将恶意数据写入内核页缓存,进而篡改 / usr / bin / su 等可信二进制文件。相较于历史上的 Dirty Cow 或 Dirty Pipe,此漏洞利用更稳定、更简单,成功率极高。
漏洞影响范围极广,涵盖 2017 年至补丁发布前构建的内核版本。特别值得注意的是,由于 Linux 页缓存在容器边界间共享,受感染的容器或 Pod 可利用此机制篡改宿主机缓存文件,从而实现容器逃逸。攻击者可能利用这一特性,威胁云原生环境及多租户架构。
研究人员利用该漏洞编写了一个 732 字节的 Python 脚本,在 Ubuntu、Amazon Linux、RHEL 及 SUSE 四个主流 Linux 发行版上,测试发现 Linux 6.12、6.17 和 6.18 均存在问题,每次都成功获取了 root shell。
发现过程结合了人类洞察与 AI 工具。研究员 Taeyang Lee 识别出攻击面后,利用 AI 辅助审计工具 Xint Code 扫描 crypto / 子系统,仅耗时约 1 小时便定位到这一最高严重性漏洞。
针对该漏洞的修复补丁(提交号 a664bf3d603d)已发布,主要回退了 2017 年的优化代码。若无法立即更新,管理员可通过禁用 algif_aead 内核模块或配置 seccomp 策略阻止 AF_ALG 套接字创建来缓解风险。
漏洞修复
漏洞检测
Linux系统用户可以通过查看内核版本来判断当前系统是否在受影响范围内,查看操作系统版本信息命令如下:
cat /proc/version
可使用下列命令检查algif_aead模块的状态:
lsmod | grep algif_aead
注:若系统内核在受影响范围且加载了该模块,则存在安全风险。
漏洞防护
目前官方已发布新版本与安全补丁修复此漏洞,请受影响的用户尽快更新进行防护,下载链接:
Linux Kernel 6.18.22
https://git.kernel.org/stable/c/fafe0fa2995a0f7073c1c358d7d3145bcc9aedd8
Linux Kernel 6.19.12
https://git.kernel.org/stable/c/ce42ee423e58dffa5ec03524054c9d8bfd4f6237
Linux Kernel 7.0
https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5
其他防护措施
若相关用户暂时无法进行升级更新,可使用以下措施进行临时防护:
EOF
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴