山石安全能力中心｜Linux Copy Fail (CVE-2026-31431)本地提权漏洞预警通告

打开网易新闻 查看精彩图片

Linux Copy Fail (CVE-2026-31431)

一、背景

2026年4月29日，安全研究机构Xint公开了一个影响Linux内核近九年的本地权限提升漏洞，代号“Copy Fail”（CVE-2026-31431）。该漏洞允许无特权的本地用户向任意可读文件的页缓存中写入4个可控字节，进而通过篡改setuid程序（如/usr/bin/su）获得root权限。漏洞原理不依赖竞争条件、无需内核特定偏移，单个732字节的Python脚本即可触发。

二、风险成因

漏洞根源是三个独立内核变更的意外组合：

1. authencesn模板设计缺陷（2011年引入）：为支持IPsec扩展序列号，该模板使用调用者的目标缓冲区作为临时工作区，在执行解密时会向assoclen + cryptlen偏移处写入4字节，且不恢复原始数据。

2. AF_ALG获得splice()支持（2015年）：允许用户将文件页缓存直接传递给加密子系统。

3. algif_aead启用原地操作优化（2017年）：将splice()来的页缓存页通过sg_chain()链接到可写的目标散列表，而authencesn的越界写入正好落入了这些页缓存页。

最终效果：无特权用户利用AF_ALG + splice()构造特定参数，触发authencesn向目标文件（如/usr/bin/su）页缓存的任意偏移写入4字节。页缓存被篡改后，执行该程序即运行恶意代码，获得root权限。此写操作不会标记页为脏，因此永不写回磁盘，传统基于磁盘校验的完整性工具无法检测。

三、影响范围

• 受影响内核版本：2017年至2026年4月间发布的所有Linux内核（引入补丁a664bf3d603d之前）。

• 受影响操作系统：所有主流发行版，包括但不限于：

• Ubuntu 24.04 LTS (6.17.0-1007-aws)

• Amazon Linux 2023 (6.18.8-9.213.amzn2023)

• RHEL 10.1 (6.12.0-124.45.1.el10_1)

• SUSE 16 (6.12.0-160000.9-default)

• Debian, Arch, Fedora, Rocky, AlmaLinux, Oracle Linux等。

• 利用条件：拥有一个普通用户本地账户（无需网络、无需调试功能、无需预装工具）；默认配置下CONFIG_CRYPTO_USER_API_AEAD启用。

• 危害：本地权限提升；同时因页缓存主机共享，可导致容器逃逸与节点接管。

四、攻击复现

打开网易新闻 查看精彩图片

五、处置建议

1. 立即更新内核：升级包含补丁a664bf3d603d（将algif_aead恢复为异地操作）的发行版内核包。

2. 临时缓解措施（无法立即更新时）：

o 禁用内核模块algif_aead：

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

rmmod algif_aead 2>/dev/null

o 对于容器/沙箱环境，通过seccomp策略阻止创建AF_ALG套接字。

3. 影响评估：禁用algif_aead不影响LUKS/dm-crypt、kTLS、IPsec/XFRM、OpenSSL/GnuTLS默认后端等常规加解密路径，仅破坏显式使用AF_ALG引擎的用户态应用。

六、山石防护

针对 CVE-2026-31431，山石网科智铠 EDR 产品已新增检测规则，能从行为层面识别攻击特征，及时告警本地提权与容器逃逸企图，让威胁无所遁形。

七、山石产品受影响情况

经安全团队验证，山石网科防火墙产品默认未启用algif_aead内核模块，不受该漏洞影响。

• 官方通告：https://copy.fail

• 技术分析：https://xint.io/blog/copy-fail-linux-distributions

• 内核补丁：https://github.com/torvalds/linux/commit/a664bf3d603d

山石网科是中国网络安全行业的技术创新领导厂商，由一批知名网络安全技术骨干于2007年创立，并以首批网络安全企业的身份，于2019年9月登陆科创板（股票简称：山石网科，股票代码：688030）。

现阶段，山石网科掌握30项自主研发核心技术，申请560多项国内外专利。山石网科于2019年起，积极布局信创领域，致力于推动国内信息技术创新，并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发，旨在通过自主创新，为用户提供更高效、更安全的网络安全保障。目前，山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及基础设施安全、云安全、数据安全、应用安全、安全运营、工业互联网安全、信息技术应用创新、AI安全、安全服务、安全教育等10大类产品及服务，50余个行业和场景的完整解决方案。