【安全通告】Linux Kernel "Copy Fail" 本地权限提升漏洞风险通告（CVE-2026-31431）

近期，Linux 内核披露一处本地权限提升漏洞，漏洞编号CVE-2026-31431，漏洞代号为“Copy Fail”。该漏洞依托 AF_ALG 加密接口与 splice() 系统调用，允许本地低权限攻击者向任意可读文件的页缓存写入4字节可控数据，恶意人员可借此篡改 setuid 二进制文件，最终获取 root 最高权限。

为保障业务安全稳定运行，轩辕镜像建议各用户尽快开展资产自查，若服务器内核处于受影响范围，请及时完成漏洞修复，规避被恶意入侵、权限窃取的风险。

一、漏洞详情

1.1 产品简介

Linux Kernel 是目前应用最广泛的开源操作系统内核，作为 Linux 系统的核心基础组件，主要负责硬件资源调度、进程管理、内存管控、文件系统及网络通信等底层核心工作。

1.2 漏洞原理

该漏洞成因源于内核代码优化缺陷：2017年官方提交代码（提交编号：72548b093ee3），对 AF_ALG 套接字 AEAD 解密路径做就地（in-place）操作优化，将 splice() 调用传输的目标文件页缓存页面，直接挂载至可写输出散列表中。

authencesn 算法为适配 IPsec 扩展序列号（ESN）功能，解密过程中会在接收缓冲区偏移位置（assoclen + cryptlen）临时写入4字节数据，用于重排认证数据序列号。当 AF_ALG 套接字通过 recvmsg() 触发解密操作时，数据写入会超出缓冲区边界，覆盖后续挂载的页缓存页面。

攻击者可利用该缺陷，篡改系统内任意可读文件的页缓存数据，无需竞争条件、无需重复尝试，即可篡改 su 等 setuid 权限程序，实现本地提权。且本次数据写入不会触发磁盘脏页回写，能够达成持久化提权，危害程度极高。

目前，该漏洞的技术细节、EXP 验证代码均已公开，攻击利用门槛低，建议尽快加固修复。

二、风险等级

高风险

三、漏洞危害

本地低权限攻击者可无需特殊条件，直接篡改系统可读文件页缓存，快速获取服务器 root 最高权限；篡改数据不会同步写入磁盘，恶意行为隐蔽性强，可实现持久化权限控制，严重威胁服务器数据安全与业务稳定性。

四、影响范围

4.1 内核版本范围

4.14 ≤ Linux Kernel < 5.10.254
5.11 ≤ Linux Kernel < 5.15.204
5.16 ≤ Linux Kernel < 6.1.170
6.13 ≤ Linux Kernel < 6.18.22
6.19 ≤ Linux Kernel < 6.19.12
6.2 ≤ Linux Kernel < 6.6.137
6.7 ≤ Linux Kernel < 6.12.85
7.0-rc1 ≤ Linux Kernel ≤ 7.0-rc6

4.2 受影响操作系统

Ubuntu：18.04 LTS、20.04 LTS、22.04 LTS、24.04 LTS、25.10
Debian：Debian 11（版本＜5.10.251-3）、Debian 12（版本＜6.1.170-1）、Debian 13（版本＜6.12.85-1）
Rocky Linux：8（版本＜4.18.0-553.123.1.el8_10）、9（版本＜5.14.0-611.54.1.el9_7）、10（版本＜6.12.0-124.55.1.el10_1）
Red Hat Enterprise Linux（RHEL）：8、9、10（版本阈值同 Rocky Linux）
Amazon Linux：Amazon Linux 2、Amazon Linux 2023
openSUSE：Leap 15.6、Leap 16.0

五、安全修复版本

5.1 内核安全版本

Linux Kernel ≥ 5.10.254、5.15.204、6.1.170、6.18.22、6.19.12、6.6.137、6.12.85、7.0-rc7

5.2 各发行版安全版本

Debian：11≥5.10.251-3、12≥6.1.170-1、13≥6.12.85-1
Rocky Linux：8≥4.18.0-553.123.1.el8_10、9≥5.14.0-611.54.1.el9_7、10≥6.12.0-124.55.1.el10_1
Red Hat Enterprise Linux：版本阈值同 Rocky Linux
Amazon Linux：2≥4.14.355-281.727.amzn2、2023≥6.1.168-203.330.amzn2023
openSUSE：Leap 15.6≥6.4.0-150600.23.100.1、Leap 16.0≥6.12.0-160000.29.1

六、漏洞排查方法

可通过以下命令分步排查服务器漏洞风险，适配所有 Linux 发行版：

6.1 查看当前内核版本

Plain
uname -r

6.2 检测内核加密模块配置（推荐）

Plain
grep CONFIG_CRYPTO_USER_API_AEAD /boot/config-$(uname -r)

返回结果说明：

CONFIG_CRYPTO_USER_API_AEAD=n：模块关闭，服务器不受漏洞影响，无需处理；
CONFIG_CRYPTO_USER_API_AEAD=y：模块静态编译进内核，无法卸载，暂无临时缓解手段，必须升级内核（RHEL、CentOS、Rocky Linux 8/9/10 系列均为此类配置）；
CONFIG_CRYPTO_USER_API_AEAD=m：模块动态加载，可卸载，存在风险，可采用临时缓解措施。

6.3 检查受影响模块加载状态

Plain
lsmod | grep algif

6.4 检测 AF_ALG 套接字是否可创建（漏洞可用性验证）

Plain
python3 -c "import socket; socket.socket(38,5,0); print('VULNERABLE')"

七、修复与加固建议

为降低漏洞攻击风险，结合各厂商更新进度，整理分级修复方案，用户可根据自身系统选择适配方式：

7.1 官方补丁升级（优先推荐）

Debian、RHEL、SUSE、Amazon Linux 官方已推送内核安全补丁，建议直接升级内核完成修复，官方查询地址如下：

Debian：https://security-tracker.debian.org/tracker/CVE-2026-31431
RHEL/CentOS：https://access.redhat.com/security/cve/cve-2026-31431
SUSE：https://www.suse.com/security/cve/CVE-2026-31431.html
Amazon Linux：https://explore.alas.aws.amazon.com/CVE-2026-31431.html

7.2 Ubuntu 系统专项处理

Ubuntu 暂未发布内核修复补丁，目前已推送 kmod 软件包更新，可禁用 algif_aead 模块规避风险，建议受影响用户优先更新 kmod 包：

更新参考：https://ubuntu.com/blog/copy-fail-vulnerability-fixes-available

内核补丁进度可持续关注官方公告：https://ubuntu.com/security/CVE-2026-31431

7.3 临时缓解措施（无法立即升级内核时使用）

该方案仅适用于动态编译模块（CONFIG_CRYPTO_USER_API_AEAD=m），静态编译模块无法生效，需注意：

写入配置，永久禁用 algif_aead 模块
卸载当前已加载的风险模块

Plain
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
rmmod algif_aead 2>/dev/null

7.3.1 缓解效果验证

Plain
python3 -c 'import socket; s=socket.socket(38,5,0); (s.bind(("aead", "authencesn(hmac(sha256),cbc(aes))")) or print("未缓解")) if s else None' 2>/dev/null || echo "已缓解"

7.4 容器环境加固

容器环境可通过 seccomp 规则限制 AF_ALG 套接字创建，阻断漏洞利用路径，配置如下：

Plain
"syscalls": [{  "names": ["socket"],  "action": "SCMP_ACT_ERRNO",  "args": [{"index": 0, "value": 38, "op": "SCMP_CMP_EQ"}]}]

八、备注说明

所有服务器进行内核升级、配置修改前，请务必提前做好数据备份，防止操作异常导致业务故障；静态编译内核的服务器，请勿依赖临时缓解命令，建议尽快升级官方安全内核补丁。

九、漏洞参考链接

漏洞官方主页：https://copy.fail/
漏洞分析文档：https://xint.io/blog/copy-fail-linux-distributions
POC 开源地址：https://github.com/theori-io/copy-fail-CVE-2026-31431/
NVD 漏洞详情：https://nvd.nist.gov/vuln/detail/CVE-2026-31431