02.05.2026 15:11
732-байтный Python-эксплоит даёт root в Linux за секунду Исследователи выявили критическую LPE-уязвимость CVE-2026-31431, получившую имя Copy Fail.
732-байтный Python-эксплоит даёт root в Linux за секунду
Исследователи выявили критическую LPE-уязвимость CVE-2026-31431, получившую имя Copy Fail. Проблема позволяет любому локальному непривилегированному пользователю мгновенно получить права root. Уязвимость эксплуатабельна во всех дистрибутивах с ядром Linux начиная с версии 4.14 (2017 год), где не отключена поддержка сокетов AF_ALG. Она стабильно работает на Ubuntu 24.04, RHEL 10.1, Amazon Linux 2023 и SUSE 16 без необходимости подбора смещений или адаптации.
Атака использует логическую ошибку в криптографической подсистеме (crypto API / AF_ALG), допущенную при внесении оптимизации в 2017 году. Ошибка в связке authencesn → AF_ALG → splice() позволяет перезаписывать 4 байта в page cache ядра по произвольному смещению. Повторяя запросы, атакующий модифицирует содержимое страничного кэша любого файла, доступного для чтения. Так как ОС читает файлы именно из кэша, подмена позволяет внедрить вредоносный код в исполняемый файл с флагом suid root (например, /usr/bin/su). Последующий запуск su даёт злоумышленнику root-доступ.
Уязвимость выявлена при помощи AI после часа экспериментов. Патч уже принят в ядро и включён в стабильные обновления. Проблема устранена в версиях 6.18.22, 6.19.12, 7.0, а также в LTS-ветках 5.10.254, 5.15.204, 6.1.170, 6.6.137, 6.12.85.
Временное решение: отключить подозрительный модуль algif_aead (предварительно проверив, что его никто не использует, командой lsof | grep AF_ALG):
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead
Android не подвержены атаке из-за ограничений SELinux. Разработчики ядра рассматривают удаление AF_ALG в будущем в пользу пользовательских криптобиблиотек.
🐧Обсудить в Чате Linux
Исследователи выявили критическую LPE-уязвимость CVE-2026-31431, получившую имя Copy Fail. Проблема позволяет любому локальному непривилегированному пользователю мгновенно получить права root. Уязвимость эксплуатабельна во всех дистрибутивах с ядром Linux начиная с версии 4.14 (2017 год), где не отключена поддержка сокетов AF_ALG. Она стабильно работает на Ubuntu 24.04, RHEL 10.1, Amazon Linux 2023 и SUSE 16 без необходимости подбора смещений или адаптации.
Атака использует логическую ошибку в криптографической подсистеме (crypto API / AF_ALG), допущенную при внесении оптимизации в 2017 году. Ошибка в связке authencesn → AF_ALG → splice() позволяет перезаписывать 4 байта в page cache ядра по произвольному смещению. Повторяя запросы, атакующий модифицирует содержимое страничного кэша любого файла, доступного для чтения. Так как ОС читает файлы именно из кэша, подмена позволяет внедрить вредоносный код в исполняемый файл с флагом suid root (например, /usr/bin/su). Последующий запуск su даёт злоумышленнику root-доступ.
Уязвимость выявлена при помощи AI после часа экспериментов. Патч уже принят в ядро и включён в стабильные обновления. Проблема устранена в версиях 6.18.22, 6.19.12, 7.0, а также в LTS-ветках 5.10.254, 5.15.204, 6.1.170, 6.6.137, 6.12.85.
Временное решение: отключить подозрительный модуль algif_aead (предварительно проверив, что его никто не использует, командой lsof | grep AF_ALG):
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead
Android не подвержены атаке из-за ограничений SELinux. Разработчики ядра рассматривают удаление AF_ALG в будущем в пользу пользовательских криптобиблиотек.
🐧Обсудить в Чате Linux