尊敬的金融专区用户,您好!
金融专区安全运营团队监测到,Linux Kernel 被披露其存在本地权限提升漏洞,漏洞编号CVE-2026-31431,代号 “Copy Fail”。可导致本地低权限攻击者利用 AF_ALG 加密接口与 splice() 系统调用,实现向任意可读文件的页缓存中写入受控的4字节数据,进而通过篡改 setuid 二进制文件获得 root 权限等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Linux Kernel 是全球最广泛使用的开源操作系统内核,它是 Linux 系统的核心组件,负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。
据描述,在 Linux 内核的 authencesn 加密模板与 algif_aead 模块的组合实现中,由于 AF_ALG 套接字的 AEAD 解密路径在 2017 年引入了一个就地(in-place)操作优化(提交 72548b093ee3),将 splice() 传递过来的目标文件页缓存页面直接链入可写的输出散列表(scatterlist)。而 authencesn 算法在实现 IPsec 扩展序列号(ESN)支持时,为了重排认证数据中的序列号字节,会在解密过程中将接收缓冲区偏移 assoclen + cryptlen 位置作为临时存储空间写入 4 字节数据。当 AF_ALG 通过 recvmsg() 触发解密操作时,该写入会跨越接收缓冲区边界,直接覆盖链在后面的页缓存页面,从而实现对任意已打开的可读文件的页缓存进行受控的 4 字节篡改,最终导致本地低权限攻击者可通过篡改系统上任意可读文件(如 /usr/bin/su 等 setuid 程序)的页缓存内容,无需竞争条件或重试即可直接获得 root 权限,且该写入不会触发磁盘脏页回写,可实现持久化提权等危害。
目前该漏洞的漏洞细节、POC已公开。
风险等级
高风险
漏洞风险
本地攻击者利用该漏洞可在无需竞争条件、无需重试的情况下,通过篡改系统上任意可读文件(如 /usr/bin/su 等 setuid 程序)的页缓存内容,直接获得 root 权限,且该写入不会触发磁盘脏页回写,可实现持久化提权等危害。
影响版本
72548b093ee3 <= commit < a664bf3d603d
目前已知受影响操作系统及版本:
Ubuntu 24.04 LTS
Amazon Linux 2023
Red Hat Enterprise Linux 10
Red Hat Enterprise Linux 9
Red Hat Enterprise Linux 8
SUSE 16
安全版本
commit >= a664bf3d603d
修复建议
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,升级至安全版本
https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5
2. 针对 Ubuntu、Red Hat Enterprise Linux 等用户,官方暂未发布安全更新,请及时关注官方安全公告
https://ubuntu.com/security/CVE-2026-31431
https://access.redhat.com/security/cve/cve-2026-31431
3. 缓解措施:
禁用 algif_aead 内核模块:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf。
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://xint.io/blog/copy-fail-linux-distributions
https://github.com/theori-io/copy-fail-CVE-2026-31431/
https://nvd.nist.gov/vuln/detail/CVE-2026-31431
腾讯云 金融专区
2026-04-30
