马上五一了，来个漏洞压压惊。

2026 年 4 月 29 日，安全厂商 Theori 公开披露 Linux 内核高危漏洞CVE-2026-31431，代号Copy Fail。该漏洞为内核本地权限提升 + 容器逃逸双重风险，普通用户可一键获取 root 权限，云主机、容器环境面临严重威胁，CVSS 9.8（严重）。

漏洞 POC 已在 GitHub 公开：
https://github.com/theori-io/copy-fail-CVE-2026-31431

一、漏洞核心信息

·漏洞编号：CVE-2026-31431

·漏洞名称：Copy Fail

·漏洞类型：Linux 内核逻辑缺陷、本地提权 (LPE)、容器逃逸

·危害等级： 严重

·利用难度：极低，单脚本通杀，无竞态、无复杂堆利用

·披露时间：2026-04-29

二、漏洞利用环境（受影响范围）

该漏洞源自 2017 年内核代码优化，2017 年后主流发行版普遍受影响。

已验证受影响系统与内核

关键利用条件：

·本地普通用户权限即可

·内核启用AF_ALG加密接口、authencesn模块

·可调用splice系统调用

·目标存在 setuid 程序（如/usr/bin/su）

三、漏洞原理与利用过程

1. 原理简述

漏洞出现在 Linux 内核authencesn 加密模板，因AF_ALG + splice 链式调用的内核优化缺陷，导致可读文件的页缓存被错误赋予可写权限，攻击者可向页缓存写入受控字节，篡改系统关键程序，实现提权与逃逸。

2. 利用流程（极简版）

1.普通用户通过AF_ALG创建加密套接字，绑定authencesn(hmac(sha256),cbc(aes))算法；

2.用splice 将/usr/bin/su等 setuid 文件的页缓存引入加密流程；

3.内核 in-place 优化错误把只读页缓存链入可写散列表；

4.向缓存写入 4 字节恶意指令，篡改 setuid 程序逻辑；

5.执行被篡改程序，直接获得 root shell。

3. 利用特点

·单脚本通杀，无需适配、无竞态、成功率接近 100%

·不修改磁盘文件，仅篡改页缓存，传统监控难发现

·容器内可篡改宿主机共享缓存，实现容器逃逸

·PoC 仅 732 字节 Python 代码，极易传播滥用

4. 实测

拿我的 ubuntu22.04 测试：

$ git clone https://github.com/theori-io/copy-fail-CVE-2026-31431.git

$ python copy_fail_exp.py

# id

# uname -r

# cat /etc/os-release

四、修复与缓解方案

1. 官方修复（首选）

各厂商已发布内核安全更新，立即升级内核到修复版本：

·Ubuntu：更新至6.17.0-1008-aws及以上

·RHEL：更新至6.12.0-124.46.1.el10_1及以上

·SUSE：更新至6.12.0-160000.10-default及以上

·Amazon Linux：执行yum update kernel升级

2. 临时缓解（无法立即升级时）

·禁用authencesn内核模块（需重启）

·限制普通用户使用 AF_ALG 套接字

·加强容器安全基线，启用 seccomp 限制splice与 AF_ALG

·开启页缓存完整性校验、内核页表保护

3. 验证是否修复

1.查看内核版本：uname -r

2.运行官方检测脚本或尝试执行 POC，无法提权即为修复成功

五、安全建议

1.云服务器 / 物理机：12 小时内完成内核升级，重启生效

2.K8s/Docker 集群：优先更新节点内核，同步加固容器权限

3.安全运营：监控异常splice+AF_ALG 调用、setuid 程序异常执行

4.合规自查：纳入漏洞扫描与补丁管理闭环，留存升级记录

这个假期运维人要过不好了，哈哈，真会挑时间。