九年没人发现,发现后十五天必须修完。CISA这次把Linux内核的一个老漏洞拉进强制修复清单,理由很直接:攻击脚本比一张表情包还小,却能直接拿下root权限。

漏洞本身:藏在加密模块里的逻辑bug

打开网易新闻 查看精彩图片

CVE-2026-31431,外号"Copy Fail",CVSS评分7.8。问题出在Linux内核的AF_ALG加密子系统,具体是algif_aead模块的认证加密模板。

这是一个逻辑错误:原地操作时的内存处理不当。当copy操作失败时,错误处理机制没做对,导致攻击者可以在内核页缓存里精准覆盖4个字节。

4个字节听起来不多,但足够篡改setuid二进制文件和其他内核管理的数据——而且全程在内核空间完成,绕过了所有用户态防护。

攻击链的三环咬合:AF_ALG套接字接口、splice()系统调用、失败copy的错误处理。三个环节单独看都没问题,合在一起就炸了。

攻击门槛:低得离谱

732字节的Python脚本。不是732行,是732字节。一个未授权的本地用户就能可靠提权到root。

更麻烦的是攻击条件:

不需要root权限(在容器里也一样)
不需要加载内核模块
不需要网络访问

这意味着什么?Kubernetes集群、Docker CI runner这些容器化环境,一旦被突破外围,这个漏洞就是完美的后渗透工具。攻击者在容器里拿到shell,用这个脚本就能跳到宿主机root。

云原生架构的隔离神话,在这里裂了一道缝。

九年潜伏:三个"无害"变更的合谋

漏洞2026年4月29日公开,但根子要追溯到2011年、2015年、2017年的三次内核变更。每次变更单独看都人畜无害,合起来却埋了颗雷。

这九年里,所有2017年后编译的内核都受影响。名单很长:Ubuntu 24.04 LTS、Amazon Linux 2023、Red Hat Enterprise Linux 10.1、SUSE 16、Debian、Fedora、Arch Linux。

基本上,你在生产环境能见到的Linux发行版,全军覆没。

安全审计没抓到,代码审查没抓到,静态分析工具也没抓到。一个需要三个历史变更叠加才能触发的bug,传统检测手段很难定位。

CISA的反应:罕见的紧迫感

5月1日进KEV目录,5月15日联邦机构必须修完。这个时间表在CISA的漏洞响应里算快的。

补丁版本已经放出:6.18.22、6.19.12、7.0。Red Hat用户可以先上配置级缓解措施,等补丁部署。

CISA的指令很硬:立即应用厂商缓解措施,按BOD 22-01处理云服务,修不了的直接停用。

关键是最后一句:野外活跃利用已确认。这不是"理论上可能被利用",是已经在打了。

清单:五个必须检查的点

第一,内核版本审计

云工作负载、容器环境、本地基础设施,全部要扫。别只看主版本号,要看具体编译时间。2017年后的内核都有风险,但具体是否触发取决于algif_aead模块是否启用。

第二,容器隔离重评估

这个漏洞击穿的是容器-宿主机边界。你的Kubernetes命名空间隔离、seccomp策略、AppArmor规则,在这个攻击路径前都是摆设。需要重新设计威胁模型:假设容器内已沦陷,宿主机还能守住吗?

第三,CI/CD管道扫描

Docker CI runner是明确提到的攻击场景。构建环境通常有敏感凭证,又常被忽视安全更新。检查你的GitHub Actions、GitLab CI、Jenkins节点,内核版本是否在名单里。

第四,缓解措施优先级

Red Hat的配置缓解可以争取时间,但别把它当永久方案。CISA的"或 discontinue use"不是客套话——修不了的系统,业务连续性风险要量化评估。

第五,供应链上游确认

云厂商的托管Kubernetes、Serverless容器实例,内核版本你控制不了。需要向AWS、GCP、Azure确认修复时间表,以及他们是否提供漏洞隔离的临时方案。

为什么这次不一样

Linux内核漏洞年年有,但"Copy Fail"有几个特征值得产品人琢磨:

攻击复杂度极低。732字节脚本意味着自动化工具化门槛几乎为零,脚本小子也能用。

隐蔽期极长。九年潜伏说明内核代码的复杂性已经超出人类审查的极限,需要新的检测方法论。

容器场景适配度极高。云原生架构的普及,让这个本地提权漏洞变成了云环境的大规模杀伤性武器。

CISA的响应速度也释放信号:关键基础设施的漏洞修复窗口正在收紧。15天强制修复,以后可能是常态。

这个漏洞最讽刺的地方在于:它藏在加密子系统里——本应是系统最安全的地方。AF_ALG的设计初衷是让应用程序调用内核加密算法,避免自己实现密码学。结果这个"安全基础设施"本身成了突破口。

产品安全的一个老教训再次被验证:复杂度是安全的敌人。三个独立无害的变更,在九年后合谋制造了一个完美风暴。你的代码库里,有没有类似的"变更债务"在沉睡?

补丁已经发布,但修复率能到多少?那些打不上补丁的嵌入式设备、IoT网关、老旧服务器,会成为这个732字节脚本的长期猎物吗?