慢雾警告：Linux Copy Fail 漏洞极易利用，建议尽快升级核心

據慢雾（SlowMist）首席资訊安全长 23pds 於 4 月 30 日在 X 发文，Linux 系统中发现一个名为「Copy Fail」的逻辑漏洞（CVE-2026-31431），極易被利用，慢雾建议用戶迅速升級核心。

漏洞基本资訊与受影響範圍

根據 Xint Code 研究團队 4 月 29 日的技術报告，CVE-2026-31431 是 Linux 核心验证加密（AEAD）模板 algif_aead.c 中的逻辑漏洞，利用 AF_ALG + splice() 函數链式调用，允許非特權本机用戶对系统任意可读檔案的頁面快取进行確定性的 4 位元組受控寫入，进而通过破壞 setuid 二进位檔案取得 root 權限。

根據 Xint Code 报告，已測試確认受影響的发行版及核心版本包括：

Ubuntu 24.04 LTS：核心 6.17.0-1007-aws

Amazon Linux 2023：核心 6.18.8-9.213.amzn2023

RHEL 10.1：核心 6.12.0-124.45.1.el10_1

SUSE 16：核心 6.12.0-160000.9-default

根據 Xint Code 报告，此漏洞的根本原因在於 2017 年引入 algif_aead.c 的就地（in-place）AEAD 優化（提交 72548b093ee3），導致来自 splice() 的頁面快取頁被置於可寫入的分散清單中，与 authenticsn AEAD 封裝器的臨时寫入操作共同構成可利用路徑。

協调披露时间表与修補措施

根據 Xint Code 4 月 29 日披露的时间表，CVE-2026-31431 於 2026 年 3 月 23 日报告至 Linux 核心安全團队，補丁（a664bf3d603d）於 3 月 25 日完成審核，4 月 1 日提交至主線核心，4 月 22 日 CVE 正式分配，4 月 29 日公开披露。

根據 Xint Code 报告，修補措施包括：更新发行版核心软體包（主流发行版应通过正常核心更新发布此補丁）。如需立即緩解，可通过 seccomp 阻止 AF_ALG 套接字創建，或執行以下命令將 algif_aead 模組列入黑名單：echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf。

根據 Xint Code 报告，此漏洞亦影響跨容器边界的场景，因頁面快取由主机共享；Kubernetes 容器逃逸的相关影響將在第二部分进行披露。

常见问題

CVE-2026-31431 的影響範圍为何？

根據 Xint Code 4 月 29 日报告及慢雾 23pds 4 月 30 日告警，CVE-2026-31431 影響 2017 年以来发布的幾乎所有主流 Linux 发行版，包括 Ubuntu、Amazon Linux、RHEL 及 SUSE，732 位元組 Python 腳本可在无需特權的情況下取得 root 權限。

此漏洞的臨时緩解方法是什麼？

根據 Xint Code 4 月 29 日报告，可通过 seccomp 阻止 AF_ALG 套接字創建，或執行 echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf 將 algif_aead 模組列入黑名單以立即緩解。

CVE-2026-31431 的補丁何时发布？

根據 Xint Code 4 月 29 日披露的时间表，補丁（a664bf3d603d）於 2026 年 4 月 1 日提交至 Linux 主線核心，主流发行版应通过正常核心软體包更新发布此補丁。