多年后出现的最严重Linux威胁让世界措手不及

Source: Ars Technica

概览

公开发布的利用代码针对一个几乎未被修补的漏洞，该漏洞可让几乎所有 Linux 发行版获得 root 权限，这一情况正敲响警钟，防御者正争分夺秒地阻止数据中心和个人设备内部的严重妥协。

该漏洞及其利用代码于 星期三晚上 由安全公司 Theori 的研究人员发布，这距离他们向 Linux 内核安全团队私下披露已过去五周。内核团队已在以下版本中修补了该漏洞 7.0、6.19.12、6.18.12、6.12.85、6.6.137、6.1.170、5.15.204、5.10.254（请参见下面前三个补丁的提交链接），但在利用代码发布时，大多数 Linux 发行版尚未将这些修复合并进去。

• 7.0: https://github.com/torvalds/linux/commit/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5
• 6.19.12: https://git.kernel.org/stable/c/ce42ee423e58dffa5ec03524054c9d8bfd4f6237
• 6.18.12: https://git.kernel.org/stable/c/fafe0fa2995a0f7073c1c358d7d3145bcc9aedd8

单脚本攻击所有发行版

该关键缺陷的编号为 CVE-2026-31431，名称为 CopyFail，是一种本地特权提升漏洞——这类漏洞允许非特权用户提升为管理员。CopyFail 的危害尤为严重，因为只需一段在星期三披露的利用代码即可在所有受影响的发行版上直接使用，无需任何修改。借助此代码，攻击者可以实现以下操作：入侵多租户系统、从基于 Kubernetes 或其他框架的容器中逃逸、以及创建恶意的 pull request 将利用代码通过CI/CD工作流传播。

“‘本地特权提升’听起来很枯燥，让我来解释一下，” 研究员 Jorijn Schrijvershof 在星期四写道。 “这意味着：攻击者已经拥有在机器上运行代码的某种方式，即使只是最普通的非特权用户，也可以提升为 root。获得 root 后，他们可以读取所有文件、安装后门、监视所有进程，并进一步渗透到其他系统。”

Schrijvershof 补充说，Theori 发布的同一段 Python 脚本在 Ubuntu 22.04、Amazon Linux 2023、SUSE 15.6 和 Debian 12 上均能可靠运行。研究员继续说道：