이 치명적인 Linux 취약점이 수백만 대의 시스템을 위험에 빠뜨리고 있습니다 - 귀하의 시스템을 보호하는 방법

Source: ZDNet

ZDNET 핵심 요약

• Copy Fail은 위험한 Linux 취약점입니다.
• 이 결함으로 공격자는 루트 접근을 쉽게 얻을 수 있습니다.
• Copy Fail은 수백만 대의 Linux 시스템에 영향을 미칩니다.

CVE-2026-31431, 일명 Copy Fail은 2017년부터 존재해 온 중요한 Linux 커널 취약점입니다.

Copy Fail이란?

Copy Fail은 Linux 커널이 특정 데이터를 처리하는 방식에 있는 결함입니다. 기본 접근 권한만 가진 공격자가 RAM의 작은 데이터를 조작해 시스템이 루트 권한을 부여하도록 속일 수 있습니다.

이를 사장이 착용한 명찰을 청소부가 자신의 명찰로 바꾸는 상황에 비유할 수 있습니다—갑자기 모두가 청소부를 사장으로 착각하게 됩니다. 많은 익스플로잇과 달리 Copy Fail은 정밀한 타이밍이나 특정 이벤트 순서를 요구하지 않습니다.

조금 더 자세히

Copy Fail은 AF_ALG 소켓 인터페이스와 splice() 시스템 콜을 악용해 커널 페이지 캐시의 4바이트만을 덮어씁니다. 이를 통해 공격자는 읽을 수 있는 파일의 setuid 바이너리(예: su)를 메모리에서 수정하고 루트 접근을 획득할 수 있습니다.

• Linux 커널 4.14부터 6.19.12(2017‑현재)까지 영향을 미침.
• 레이스 컨디션 익스플로잇과는 달리, 안정적인 직선형 취약점입니다.

“이 발견은 AI‑보조였지만, Linux 암호화 서브시스템이 페이지‑캐시‑백된 데이터와 어떻게 상호작용하는지를 연구하던 Theori 연구원 이태양의 통찰에서 시작되었습니다.” – Xint Code Research Team

전체 연구 읽기

Copy Fail 방지 방법

가장 간단한 완화 방법은 커널을 최신 버전으로 업데이트하는 것입니다. 취약한 모듈이 로드되어 있는지 확인하려면 다음을 실행하세요:

dpkg -l kmod | grep -qE '^algif_aead ' /proc/modules && \
    echo "Affected module is loaded" || \
    echo "Affected module is NOT loaded"

• “Affected module is NOT loaded.” 라고 표시되면 커널이 패치된 것입니다.
• “Affected module is loaded.” 라고 표시되면 시스템을 업데이트하고 명령을 다시 실행하세요.

업데이트 후에도 모듈이 계속 로드된다면 다음과 같이 비활성화할 수 있습니다:

# 모듈을 영구적으로 비활성화
echo 'install algif_aead /bin/false' > /etc/modprobe.d/disable-algif.conf

# 현재 세션에서 모듈 언로드
rmmod algif_aead

위 단계들을 적용하면 시스템이 Copy Fail 취약점으로부터 보호됩니다.