这项关键的 Linux 漏洞正使数百万系统面临风险——如何保护您的系统
发布: (2026年5月5日 GMT+8 22:47)
3 分钟阅读
原文: ZDNet
Source: ZDNet
ZDNET 关键要点
- Copy Fail 是一种危险的 Linux 漏洞。
- 该缺陷使攻击者轻松获取 root 权限。
- Copy Fail 影响数百万 Linux 系统。
CVE-2026-31431,亦称 Copy Fail,是一种自 2017 年起就存在的关键 Linux 内核漏洞。
什么是 Copy Fail?
Copy Fail 是 Linux 内核在处理某些数据时的缺陷。拥有基本访问权限的攻击者可以在 RAM 中修改一小段数据,欺骗系统授予 root 权限。
可以把它想象成清洁工把老板的名牌换成自己的——于是所有人都误以为他是老板。与许多利用时机的攻击不同,Copy Fail 不需要 精确的时序或特定事件顺序。
更多细节
Copy Fail 利用 AF_ALG 套接字接口和 splice() 系统调用,覆盖内核页面缓存中任意可读文件的 4 字节。这使攻击者能够在内存中修改 setuid 二进制文件(例如 su),从而获取 root 权限。
- 影响 Linux 内核 4.14 至 6.19.12(2017‑至今)。
- 与竞争条件漏洞不同:它是一个稳定、直线型的漏洞。
“此发现由 AI 辅助,但最初来源于 Theori 研究员 Taeyang Lee 对 Linux 加密子系统与页面缓存数据交互的洞察。” – Xint Code Research Team
如何防范 Copy Fail
最简单的缓解措施是 更新内核 到最新版本。要检查是否加载了易受攻击的模块,运行:
dpkg -l kmod | grep -qE '^algif_aead ' /proc/modules && \
echo "Affected module is loaded" || \
echo "Affected module is NOT loaded"- 如果看到 “Affected module is NOT loaded.”,说明内核已修补。
- 如果看到 “Affected module is loaded.”,请更新系统并重新运行该命令。
如果在更新后模块仍然加载,可以禁用它:
# 永久禁用模块
echo 'install algif_aead /bin/false' > /etc/modprobe.d/disable-algif.conf
# 在当前会话中卸载模块
rmmod algif_aead完成这些步骤后,您的系统应已免受 Copy Fail 漏洞的影响。