埋伏9年通杀全版本!Copy Fail 内核提权毛病分析(CVE-2026-31431)
2026年4月29日,国际安全研究团队Theori的研究员Taeyang Lee正式公开了代号为Copy Fail的Linux内核高危毛病,官方编号CVE-2026-31431。这一毛病在Linux内核中埋伏近9年,影响2017年至今险些全部主流Linux发行版,攻击者仅需得到本地平常用户权限,运行一段732字节的Python脚本,即可稳固获取体系最高root权限,以致实现容器逃逸,直接突破Kubernetes集群的隔离边界。相较于汗青上荣誉鹊起的Dirty Cow、Dirty Pipe等内核提权毛病,Copy Fail的使用门槛更低、稳固性更强、潜伏性更高,堪称比年来Linux生态最具威胁的本地提权毛病之一。本文将从毛病底子信息、核心原理、使用链路、危害影响到修复方案,举行全方位深度分析。
一、毛病底子信息速览
项目核心详情CVE编号CVE-2026-31431毛病代号Copy Fail毛病范例Linux内核逻辑毛病 → 本地权限提拔(LPE)CVSS 3.1评分7.8(高危)披露时间2026年4月29日披露者Theori团队研究员Taeyang Lee(通过Xint Code AI审计工具发现)影响范围Linux内核 4.14 ~ 6.18.21(LTS分支)、4.14 ~ 6.19.11(Stable分支),覆盖2017年至今绝大多数主流Linux发行版(Ubuntu、RHEL、SUSE、Amazon Linux、Debian、Arch Linux等)已修复版本Linux内核 6.18.22(LTS)、6.19.12(Stable)、7.0及以上版本二、毛病核心原理深度分析
Copy Fail毛病的本质,是三个看似完全公道的内核特性/代码优化,在时间线的交织中形成了致命的逻辑缺陷,终极导致攻击者可以向只读的文件页缓存(page cache)写入受控数据,实现权限提拔。
我们先拆解毛病形成的三个核心基石,再还原完备的毛病逻辑:
1. 毛病形成的三个关键节点
毛病并非单一代码错误导致,而是长达6年的三次内核变动叠加的效果,每一次变动单独检察都无显着安全标题,组合后却成为了核弹级毛病:
[*]2011年:authencesn 算法模板参加内核,用于支持IPsec的64位扩展序列号,该算法会在解密使用中,向输入缓冲区的末了写入4字节的序列号数据,其时仅使用调用者提供的内存作为暂时缓冲区,无安全风险。
[*]2015年:内核AF_ALG加密接口新增AEAD算法支持,答应平常用户无特殊权限通过套接字调用内核加密本领,同时支持通过splice()体系调用,将文件页缓存直接传入加密使用,无需用户态内存拷贝。同年authencesn切换新API,但其末了写入的特性未做变动,此时加密使用采取out-of-place模式,不会直接修改源文件缓存。
[*]2017年:内核提交了72548b093ee3号优化补丁,将AF_ALG的AEAD加密使用改为in-place模式,直接在源数据所在的内存页实验加密/解密使用,淘汰内存拷贝提拔性能。正是这一补丁,彻底买通了毛病的完备链路,让只读文件的页缓存可以被内核加密逻辑直接修改。
2. 毛病核心逻辑一句话总结
内核通过in-place优化,将只读的文件页缓存放入了本不应拥有写权限的加密使用散列表中,而authencesn算法在解密过程中,会向输入缓冲区末了写入攻击者可控的4字节数据,终极实现对只读文件页缓存的受控窜改。
这里有两个关键的技能细节,决定了毛病的杀伤力:
[*]页缓存(page cache)的特性:Linux内核会将磁盘上的文件加载到内存页缓存中,全部效户态对文件的访问都会优先掷中缓存,且缓存是全局共享的——容器与宿主机、差别进程之间,同一个文件的页缓存是同一份。
[*]无磁盘写入的潜伏窜改:攻击者仅修改内存中的页缓存,不会修改磁盘上的源文件,传统的文件完备性校验工具(如tripwire、AIDE)无法检测到窜改,只有体系重启后缓存才会失效,潜伏性极强。
三、完备使用链路拆解
Copy Fail的使用过程无竞态条件、无复杂的内存喷射,是一条直线型的攻击路径,稳固性靠近100%,完备使用分为6个核心步调:
步调1:无权限初始化加密上下文
攻击者以本地平常用户身份,通过AF_ALG套接字初始化AEAD加密上下文,指定使用authencesn算法模板,整个过程无需root权限,Linux默认答应全部效户调用该接口。
步调2:获取目标setuid步伐的只读句柄
攻击者打开体系中自带的setuid root步伐(如/usr/bin/su、/usr/bin/sudo),获取其只读文件句柄。这类步伐默认属于root用户,且设置了setuid位,平常用户无法直接修改磁盘文件,但可以正常读取实验。
步调3:通过splice()将页缓存传入内核
攻击者调用splice()体系调用,将目标setuid步伐的文件页缓存,零拷贝传入之前初始化的AF_ALG加密套接字中。这一步是毛病使用的关键——无需将文件内容拷贝到用户态,直接将内核态的只读缓存页交给加密模块处置惩罚。
步调4:触发in-place解密使用,窜改页缓存
攻击者构造特殊的加密输入,触发authencesn算法的解密使用。内核通过in-place模式,直接在传入的只读页缓存上实验解密逻辑,authencesn算法会向输入缓冲区的末了写入攻击者可控的4字节数据,完成对只读页缓存的静默窜改。
步调5:注入恶意代码,窜改步伐实验逻辑
攻击者通过多次构造输入,向/usr/bin/su的页缓存中注入恶意shellcode,修改实在行逻辑——让本来须要暗码验证的su步伐,直接为实验用户赋予root权限。
步调6:实验窜改后的步伐,获取root权限
攻击者在用户态实验/usr/bin/su步伐,体系会优先实验已经被窜改的内存页缓存中的代码,无需任何暗码验证,直接得到UID=0的root shell,完成提权。
容器逃逸拓展使用
由于Linux的页缓存在容器和宿主机之间是全局共享的,攻击者可以在低权限容器中,通过雷同的使用链路,窜改宿主机上的setuid步伐页缓存。当宿主机上的root用户实验该步伐时,就会触发攻击者注入的恶意代码,实现从容器到宿主机的逃逸,直接继承整个Kubernetes节点。
【----资助网安学习,以下全部学习资料免费领!加vx:YJ-2021-1,备注 “博客园” 获取!】
① 网安学习发展路径头脑导图
② 60+网安经典常用工具包
③ 100+SRC毛病分析陈诉
④ 150+网安攻防实战技能电子书
⑤ 最权势巨子CISSP 认证考试指南+题库
⑥ 超1800页CTF实战本领手册
⑦ 最新网安大厂口试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
毛病复现:
https://pic1.imgdb.cn/item/69f2f23ff97149b1cf363e30.png
四、毛病危害与影响面
Copy Fail毛病的危害,远超平常的内核提权毛病,核心表现在4个维度:
1. 极宽的影响范围,全版本通杀
毛病影响2017年至今发布的险些全部Linux内核版本,覆盖Ubuntu、Debian、RHEL、CentOS、SUSE、Amazon Linux、Arch Linux等环球主流发行版,无论是企业级服务器、个人PC、云主机、物联网装备,只要使用了未打补丁的Linux内核,均受影响。
2. 极低的使用门槛,极高的稳固性
毛病使用无需复杂的内核版本适配,一套732字节的Python脚本即可通杀全部受影响版本;无竞态条件、无内存堆喷、无复杂的毛病使用本领,纵然是入门级攻击者,也能一键完成提权,且使用乐成率靠近100%,不会导致体系瓦解。
3. 极强的潜伏性,传统检测本领失效
攻击者仅修改内存中的页缓存,不会对磁盘上的源文件做任何修改,传统的文件完备性校验、主机入侵检测体系(HIDS)很难检测到攻击活动;只有体系重启后,页缓存才会重置,在此之前,攻击者可以长期维持root权限。
4. 云原生场景致命风险,容器逃逸无压力
在Docker、Kubernetes等容器化场景中,该毛病可以直接突破容器的隔离边界,攻击者通过低权限容器即可窜改宿主机的文件缓存,实现容器逃逸,进而继承整个集群节点,对企业私有云、公有云容器平台造成毁灭性打击。
五、与汗青经典提权毛病对比
Copy Fail毛病常被拿来与Dirty Cow、Dirty Pipe对比,但其在多个维度的威胁性都实现了“逾越”,核心对比如下:
特性Dirty Cow (CVE-2016-5195)Dirty Pipe (CVE-2022-0847)Copy Fail (CVE-2026-31431)使用难度需赢下内核竞态条件,易导致体系瓦解需精准使用管道缓冲区,有肯定技能门槛无需竞态,无需复杂使用,直线型实验,门槛极低版本适配需针对差别内核版本调解使用代码仅支持部门内核版本,有严酷的版本限定一套脚本通杀2017年至今全部主流版本,无适配本钱潜伏性会直接修改磁盘文件,易被检测会修改磁盘文件,留下攻击陈迹仅修改内存页缓存,磁盘文件无厘革,传统检测本领失效容器穿透本领无原生容器逃逸本领无原生容器逃逸本领可通过共享页缓存直接实现容器逃逸,威胁云原生情况使用乐成率不稳固,依靠竞态条件较稳固,受版本限定靠近100%稳固,无版本依靠六、修复方案与应急缓解步调
针对该毛病,Linux内核社区已发布官方修复补丁,同时提供了暂时应急缓解方案,发起全部Linux用户根据自身场景,尽快完成修复。
1. 永世修复方案:升级内核版本
该毛病的官方修复补丁提交号为a664bf3d603d,核心是回退了2017年的in-place优化补丁,将AF_ALG的AEAD使用改回out-of-place模式,从根源上断开只读页缓存与可写加密使用的毗连。
各主流发行版用户,可通过以下下令升级内核至安全版本:
Debian/Ubuntu 系列
apt update && apt upgrade linux-image-generic -y
# 升级完成后必须重启系统生效
rebootRHEL/CentOS/Rocky Linux 系列
yum update -y
# 升级完成后必须重启系统生效
rebootArch Linux 系列
pacman -Syu linux
# LTS版本执行 pacman -Syu linux-lts
# 升级完成后必须重启系统生效
reboot2. 暂时应急缓解步调(无法立即重启升级时使用)
若业务体系无法立即重启升级内核,可通过以下方式暂时阻断毛病使用,且不会影响IPsec等正常加密功能:
方式1:禁用algif_aead内核模块
# 写入模块黑名单,永久禁用
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
# 临时卸载已加载的模块
rmmod algif_aead 2>/dev/null || true然而,值得高度鉴戒的是体系状态的“驻留污染”标题。正如毛病测试者与安全社区成员在 GitHub Issues 中所反馈的,一旦恶意脚本曾被实验,纵然后续卸载了存在毛病的内核模块,大概禁用了其加载,此前通过毛病越界刮擦写入所污染的二进制代码片断仍旧驻留在该服务器的物理页缓存中 。假如不对此类内存态的污染举行整理,依靠受损二进制文件(如 /etc/passwd)的体系服务或认证模块(比方体系管理员一样平常实验 su 或发生 UID 分析哀求的 ls、scp 等应用)仍会出现分析错误,以致答应被留置的后门继续作为 Root 运行 。
为了确保体系的彻底清洁,除了实验全局重启外,管理员还可以通过特定指令逼迫采取并驱逐受污染的页缓存。比方,通过向内核捏造文件体系下达扬弃缓存的逼迫指令:
echo 3 > /proc/sys/vm/drop_caches
方式2:通过seccomp限定AF_ALG套接字创建
对于容器化业务,可在容器运行时设置seccomp战略,克制非特权用户创建AF_ALG套接字,阻断容器内的毛病使用;对于主机业务,可通过systemd设置服务的seccomp规则,限定业务进程的AF_ALG权限。
留意:暂时缓解步调仅为应急方案,无法彻底修复毛病,发起仍在业务窗口期尽快完成内核升级并重启。
七、毛病启示与总结
Copy Fail毛病的出现,再次给整个Linux生态和安全行业敲响了警钟:
[*]性能优化与安全的均衡:毛病的根源是一次为了提拔性能的代码优化,在淘汰内存拷贝的同时,突破了内核的权限隔离边界。内核开辟中,任何涉及内存使用、权限边界的优化,都必须颠末严酷的安全审计,尤其是in-place使用这类直接修改源内存的逻辑。
[*]组合毛病的审计盲区:单个无风险的特性,与其他特性组合后大概形成致命毛病,这是内核安全审计的最浩劫点之一。传统的逐行代码审计很难发现这类跨模块、跨时间线的组合毛病,基于上下文的全链路安全分析、AI辅助审计将成为未来内核安全的告急方向。
[*]常态化的毛病管理不可松懈:该毛病埋伏近9年才被发现,而一旦公开,攻击者可以快速使用其发起攻击。无论是企业照旧个人用户,都须要创建常态化的毛病监测与修复机制,及时跟进内核和体系安全更新,尤其是服务器、云主机等核心资产,必须紧缩毛病修复的窗口期。
停止本文发布,已有多个安全厂商监测到该毛病的在野使用实验,发起全部Linux用户立即自查内核版本,尽快完成补丁升级,制止遭受攻击。
参考泉源:
[*]Linux内核官方修复补丁:https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=a664bf3d603d
[*]Theori团队官方披露:https://github.com/Theori-Inc/copy-fail-CVE-2026-31431
[*]SuSE安全公告:https://www.suse.com/security/cve/CVE-2026-31431.html
[*]Amazon安全公告:https://explore.alas.aws.amazon.com/CVE-2026-31431.html
[*]Ubuntu安全公告:https://ubuntu.com/security/CVE-2026-31431
[*]厦门大学信息与网络中央毛病告示:http://inc.xmu.edu.cn/info/1041/9412.htm
[*]Tenable毛病公告:https://jp.tenable.com/plugins/nessus/309203
[*]PoC:https://github.com/theori-io/copy-fail-CVE-2026-31431、https://github.com/tgies/copy-fail-c
更多网安技能的在线实训练习,请点击这里>>
免责声明:如果侵犯了您的权益,请联系站长及时删除侵权内容,谢谢合作!qidao123.com:ToB企服之家,中国第一个企服评测及软件市场,开放入驻,技术点评得现金.
页:
[1]