【已复现】Linux内核权限提升漏洞（CVE-2026-31431）

阅读： 4

通告编号 NS-2026-0011

TAG：	Linux、kernel、CVE-2026-31431
漏洞危害：	攻击者利用此漏洞，可实现系统权限提升。
版本：	1.0

1 漏洞概述

近日，绿盟科技CERT监测到网上披露了Linux内核权限提升漏洞（CVE-2026-31431），被命名为”Copy Fail“；由于algif_aead子系统在AEAD解密过程和splice() 系统调用时存在逻辑缺陷，具有普通权限的本地攻击者可通过构造特定的AF_ALG socket操作序列篡改任意可读文件（setuid等）在内存中的页缓存副本，从而实现从普通用户提升至root权限。在多租户服务器、跳板机或容器云环境中，普通用户及容器内进程可借此实现本地提权或容器逃逸。CVSS评分7.8，目前漏洞细节与PoC已公开，请相关用户尽快采取措施进行防护。

注：该漏洞具有极高的稳定性和隐蔽性。攻击者通过运行简短脚本，即可精准篡改 su 等高权限程序在内存中的执行指令；由于该利用过程属于确定性逻辑触发，不依赖竞态条件，且仅篡改内存数据而不破坏磁盘原始文件，导致基于磁盘扫描的传统安全工具难以实时发现。

Linux内核是操作系统的核心组件，负责进程管理、内存管理、设备驱动、文件系统及网络协议栈等关键功能，广泛部署于服务器、桌面系统及嵌入式设备中。AF_ALG是Linux内核提供的一个socket接口，允许无特权用户空间程序直接调用内核加密子系统（如AES、SHA256等），无需用户态加密库，常用于高性能网络协议（如IPsec）和安全应用。

绿盟科技已在多个Linux发行版复现此漏洞：

参考链接：

https://copy.fail/

https://www.openwall.com/lists/oss-security/2026/04/29/26

2 影响范围

受影响版本

• 72548b093ee3 <= commit < a664bf3d603d

注：此漏洞从2017年引入，影响Ubuntu、Amazon Linux、Debian、CentOS、RHEL、SUSE、Fedora等绝大多数Linux发行版。

不受影响版本

• Linux Kernel >= 6.18.22

• Linux Kernel >= 6.19.12

• Linux Kernel >= 7.0

注：可升级至各发行版集成commit补丁a664bf3d603d的内核版本

3 漏洞检测

人工检测

Linux系统用户可以通过查看内核版本来判断当前系统是否在受影响范围内，查看操作系统版本信息命令如下：

可使用下列命令检查algif_aead模块的状态：

注：若系统内核在受影响范围且加载了该模块，则存在安全风险。

4 漏洞防护

官方升级

目前官方已发布新版本与安全补丁修复此漏洞，请受影响的用户尽快更新进行防护，下载链接：

Linux Kernel 6.18.22

https://git.kernel.org/stable/c/fafe0fa2995a0f7073c1c358d7d3145bcc9aedd8

Linux Kernel 6.19.12

https://git.kernel.org/stable/c/ce42ee423e58dffa5ec03524054c9d8bfd4f6237

Linux Kernel 7.0

https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5

其他防护措施

若相关用户暂时无法进行升级更新，可使用以下措施进行临时防护：

1、在不影响业务的情况下，可通过禁用algif_aead模块以阻断攻击面：

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf && rmmod algif_aead 2>/dev/null

2、在容器或CI/CD环境，建议通过Seccomp配置禁止进程创建AF_ALG类型的套接字，以防止容器逃逸风险。

END

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。