Copy Fail
В данной статье описывается уязвимость Linux Copy Fail (CVE-2026-31431) и меры по устранению
В операционных системах Linux обнаружена уязвимость Copy Fail. Она связана с модулем algif_aead и интерфейсом AF_ALG, который используется для криптографических операций в ядре. Уязвимость позволяет локальному пользователю повысить привилегии до root.
Уязвимость не относится к компонентам Nova напрямую, но затрагивает Linux-узлы, на которых развернута платформа. Поэтому ее необходимо учитывать при настройке и сопровождении ОС.
1. Затронутые версии ядра
Уязвимыми являются ядра Linux, собранные в интервале с 2017 года, когда была внедрена встроенная оптимизация algif_aead, до момента включения исправляющего патча. Исправляющий патч был принят в mainline 1 апреля 2026 года.
2. Определение наличия уязвимости
Проверьте версию ядра Linux:
uname -r
4.18.0-553.el8.x86_64 (1)
| 1 | В данном случае версия ядра относится к затронутому диапазону, и в сборке еще не включено исправление. |
3. Устранение уязвимости
Отключите модуль algif_aead до установки патча ядра с исправлениями. Выполните команду от имени root. Эта команда сразу запрещает создание новых сокетов AF_ALG. Уже открытые сокеты будут работать до закрытия.
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead 2>/dev/null || true
|
Данная мера не устраняет уязвимость, а только снижает риск до обновления ядра. |
Обновите ядро до версии, содержащей патч. Уязвимость устранена в следующих релизах:
-
6.18.22 (стабильная ветка) — commit
fafe0fa2995a -
6.19.12 (стабильная ветка) — commit
ce42ee423e58 -
7.0-rc7 (mainline) — commit
a664bf3d603d