Podatność „Copy Fail” w systemach Linux

Podatność dotyczy jądra Linux i umożliwia lokalną eskalację uprawnień do poziomu root przez nieuprzywilejowanego użytkownika. Z dostępnych publicznie informacji wynika, że podatność jest stosunkowo łatwa do wykorzystania, zwłaszcza że dostępne są już opisy techniczne i materiały PoC.

Sprawdzenie podatności

W celu weryfikacji czy wykonanie PoC wystąpiło na systemie należy wykonać następującą komendę:

#!/usr/bin/env bash # sprawdzenie czy exploitowany moduł jest załadowany grep -i authencesn /proc/crypto lsmod | grep '^algif_aead’ || echo „algif_aead is not loaded; likely not exploited” UWAGA: jeżeli podatny moduł jest załadowany, na 99% exploit został wykonany na tym serwerze. Zgłoś incydent bezpieczeństwa!

Nie polecamy uruchamiać dostępnego publicznie PoC exploita z powodu obfuskacji kodu oraz  zmian jakie wykonuje on w plikach systemowych.

Mitygacja

Dopóki nie są dostępne pełne aktualizacje kernela w repozytoriach (pod koniec maila wskazujemy wersje, gdzie podatność jest załatana) serwisy powinny zablokować dostęp do podatnego modułu. Dystrybucje bazujące na platformie Debian, w tym Ubuntu mogą wyłączyć moduł korzystając z:

echo „install algif_aead /bin/false” | sudo tee /etc/modprobe.d/disable-algif.conf >/dev/null sudo rmmod algif_aead 2>/dev/null || true

Inne dystrybucje (RH, Alma) mogą mieć wbudowaną w kernel podatną funkcjonalność. W tym wypadku zaleca się wyłączenie wbudowanych, podatnych funkcji (wymagany jest reboot)

echo „install algif_aead /bin/false” > /etc/modprobe.d/disable-algif.conf

lub zainstalować filtr socketów Linux/BFP jak sugerowano w https://gitlab.cern.ch/ComputerSecurity/mitigations/cve-2026-31431

Zalecamy monitorowanie repozytoriów systemowych i w wypadku dostępnej aktualizacji kernela natychmiastowe jej zainstalowanie.

Więcej szczegółowych informacji:

https://xint.io/blog/copy-fail-linux-distributions
https://csirt.egi.eu/2026/04/30/critical-vulnerability-in-linux-kernel/
https://copy.fail

Załatane Kernele

źródło: https://www.cve.org/CVERecord/?id=CVE-2026-31431

unaffected from 0 before 4.14 

unaffected from 5.10.254 through 5.10.* 

unaffected from 5.15.204 through 5.15.* 

unaffected from 6.1.170 through 6.1.* 

unaffected from 6.6.137 through 6.6.* 

unaffected from 6.12.85 through 6.12.* 

unaffected from 6.18.22 through 6.18.* 

unaffected from 6.19.12 through 6.19.* 

unaffected from 7.0