В ядре Linux обнаружена критическая локальная уязвимость CVE-2026-31431 (рейтинг 7.8 CVSS), получившая название Copy Fail. Она позволяет любому локальному пользователю мгновенно повысить свои привилегии до уровня root.

Масштаб угрозы: 9 лет в тени

Уязвимость присутствовала в коде с 2017 года — почти девять лет она оставалась незамеченной. Под угрозой оказались практически все основные дистрибутивы, выпущенные за это время: от Ubuntu и Debian до RHEL, SUSE и Amazon Linux. Используя публичный эксплоит на Python размером всего 732 байта, злоумышленник с минимальным доступом может получить полный контроль над системой.

Технический анализ Copy Fail

Проблема связана с ошибкой в криптографическом модуле algif_aead. Комбинируя интерфейс AF_ALG и системный вызов splice(), обычный пользователь может выполнить контролируемую запись 4 байт в кэш страниц памяти. Если эти 4 байта попадают в setuid-бинарник (например, /usr/bin/su), то при его запуске атакующий получает root-шелл.

Хорошая новость: патч уже включен в официальные ветки ядра 6.18.22, 6.19.12 и 7.0. Однако на момент раскрытия данных многие крупные дистрибутивы еще не успели выпустить обновленные пакеты с исправлением.

ИИ против человеческого фактора

Особую иронию ситуации придает тот факт, что уязвимость была найдена AI-платформой Xint Code. Нейросети потребовалось всего 60 минут на сканирование криптоподсистемы Linux, чтобы обнаружить баг, который разработчики ядра не замечали десятилетие. Это наглядно демонстрирует мощь ИИ в поиске ошибок там, где традиционный аудит оказывается бессилен.

Как защитить систему прямо сейчас

До обновления ядра рекомендуется временно отключить уязвимый модуль algif_aead следующей командой:

sudo rmmod algif_aead

Также следует запретить автоматическую загрузку этого модуля, добавив его в blacklist. Обязательно проверьте свои серверы и рабочие станции, ведь вопросы безопасности требуют оперативной реакции даже в самых стабильных системах.