732-байтный Python-эксплоит даёт root в Linux за секунду
Обнаружена критическая уязвимость повышения привилегий (LPE) CVE-2026-31431, получившая название Copy Fail. Уязвимость позволяет локальному непривилегированному пользователю получить права суперпользователя (root) практически мгновенно.
Проблема затрагивает системы с ядром Linux версии 4.14 и выше, если в них включена поддержка сокетов AF_ALG. Уязвимость подтверждена на ряде дистрибутивов, включая Ubuntu 24.04, RHEL 10.1, Amazon Linux 2023 и SUSE 16. Эксплуатация не требует подбора смещений или дополнительной адаптации.
Причина уязвимости - логическая ошибка в криптографической подсистеме ядра (crypto API / AF_ALG), возникшая в результате оптимизации, внесённой в 2017 году. Комбинация компонентов authencesn, AF_ALG и системного вызова splice() позволяет атакующему перезаписывать 4 байта в page cache ядра по произвольному смещению.
За счёт многократного выполнения операции возможно изменение содержимого страничного кэша файлов, доступных на чтение. Поскольку операционная система использует кэш при работе с файлами, это позволяет внедрить произвольный код в исполняемые файлы с установленным битом suid root (например, /usr/bin/su). При последующем запуске такого файла злоумышленник получает права root.
Уязвимость была обнаружена с использованием инструментов на базе искусственного интеллекта. Исправление уже внесено в ядро Linux и включено в стабильные обновления. Проблема устранена в версиях 6.18.22, 6.19.12, 7.0, а также в LTS-ветках 5.10.254, 5.15.204, 6.1.170, 6.6.137 и 6.12.85.
В качестве временной меры рекомендуется отключить модуль algif_aead, предварительно убедившись, что он не используется:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead
Системы Android не подвержены данной уязвимости благодаря ограничениям SELinux. Разработчики ядра рассматривают возможность отказа от AF_ALG в пользу пользовательских криптографических библиотек.