VU#260001: Ядро Linux содержит уязвимость локального повышения привилегий (Copy Fail)
Обнаружена новая уязвимость повышения привилегий, получившая название "Copy Fail", в ядрах Linux 4.17 и более поздних версиях. Этот дефект, которому присвоен CVE-2026-31431, позволяет локальным пользователям получить доступ к root-правам. Уязвимость связана с логической ошибкой в модуле algif_aead, используемом для аутентифицированного шифрования. Непривилегированный пользователь может записать четыре управляемых байта в кэш страниц любого читаемого файла. Это изменение в памяти может обойти проверки целостности; файл остается неизменным на диске. Злоумышленники могут использовать это, нацеливаясь на setuid-бинарник, изменяя его содержимое в памяти для повышения привилегий. Существует публичный Python proof-of-concept, что увеличивает риск эксплуатации. Решение включает в себя применение патчей ядра, которые отменяют операции AEAD. Пользователи должны обновить свои дистрибутивы Linux, как только станут доступны обновления. Обходные пути включают отключение модуля algif_aead или внесение его инициализации в черный список. Контейнерные среды требуют дополнительных мер защиты, таких как фильтрация seccomp, политики AppArmor или принудительное применение на основе eBPF. Виртуализация не позволяет использовать ошибку для побега из хоста из-за изоляции памяти. Уязвимость была обнаружена компанией Theori и задокументирована Бобом Кемерером и Виджаем Сарвепалли.