来自腾讯云【安全通告】Linux Kernel 本地权限提升漏洞风险通告（CVE-2026-31431）

尊敬的腾讯云用户，您好！

腾讯云安全中心监测到，Linux Kernel 被披露其存在本地权限提升漏洞，漏洞编号CVE-2026-31431，代号 "Copy Fail"。可导致本地低权限攻击者利用 AF_ALG 加密接口与 splice() 系统调用，实现向任意可读文件的页缓存中写入受控的4字节数据，进而通过篡改 setuid 二进制文件获得 root 权限等危害。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Linux Kernel 是全球最广泛使用的开源操作系统内核，它是 Linux 系统的核心组件，负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。

据描述，在 Linux 内核的 authencesn 加密模板与 algif_aead 模块的组合实现中，由于 AF_ALG 套接字的 AEAD 解密路径在 2017 年引入了一个就地（in-place）操作优化（提交 72548b093ee3），将 splice() 传递过来的目标文件页缓存页面直接链入可写的输出散列表（scatterlist）。而 authencesn 算法在实现 IPsec 扩展序列号（ESN）支持时，为了重排认证数据中的序列号字节，会在解密过程中将接收缓冲区偏移 assoclen + cryptlen 位置作为临时存储空间写入 4 字节数据。当 AF_ALG 通过 recvmsg() 触发解密操作时，该写入会跨越接收缓冲区边界，直接覆盖链在后面的页缓存页面，从而实现对任意已打开的可读文件的页缓存进行受控的 4 字节篡改，最终导致本地低权限攻击者可通过篡改系统上任意可读文件（如 /usr/bin/su 等 setuid 程序）的页缓存内容，无需竞争条件或重试即可直接获得 root 权限，且该写入不会触发磁盘脏页回写，可实现持久化提权等危害。

目前该漏洞的漏洞细节、POC已公开。

风险等级

高风险

漏洞风险

本地攻击者利用该漏洞可在无需竞争条件、无需重试的情况下，通过篡改系统上任意可读文件（如 /usr/bin/su 等 setuid 程序）的页缓存内容，直接获得 root 权限，且该写入不会触发磁盘脏页回写，可实现持久化提权等危害。

影响版本

72548b093ee3 <= commit < a664bf3d603d

目前已知受影响操作系统及版本：

• Ubuntu 25.10
• Ubuntu 24.04 LTS
• Ubuntu 22.04 LTS
• Ubuntu 20.04 LTS
• Ubuntu 18.04 LTS
• Amazon Linux 2023
• Red Hat Enterprise Linux 10
• Red Hat Enterprise Linux 9
• Red Hat Enterprise Linux 8
• SUSE 16

安全版本

commit >= a664bf3d603d

排查方法

# 检查内核版本
uname -r

# 检查内核配置是否启用（推荐）
grep CONFIG_CRYPTO_USER_API_AEAD /boot/config-$(uname -r)

注：会出现以下三种情况：

• CONFIG_CRYPTO_USER_API_AEAD=n 彻底关闭，不受影响，无需处理
• CONFIG_CRYPTO_USER_API_AEAD=y 静态编译进内核，Ismod 查不到，但受影响，暂无缓解措施，只能升级内核（例如：RHEL/CentOS/Rocky Linux/AlmaLinux 8, 9, 10 三代产品）
• CONFIG_CRYPTO_USER_API_AEAD=m 模块方式，Ismod 可查，加载就有风险，受影响，可通过以下缓解措施缓解

# 检查模块是否已加载受影响模块
lsmod | grep algif

# 检查 AF_ALG socket 是否可创建
python3 -c "import socket; socket.socket(38,5,0); print('VULNERABLE')"

修复建议

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，升级至安全版本
   https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5

2. 针对 Ubuntu、Debian、RHEL/CentOS、SUSE 等用户，官方暂未发布安全更新，请及时关注官方安全公告：

   • Ubuntu：https://ubuntu.com/security/CVE-2026-31431
   • Debian：https://security-tracker.debian.org/tracker/CVE-2026-31431
   • RHEL/CentOS：https://access.redhat.com/security/cve/cve-2026-31431
   • SUSE：https://www.suse.com/security/cve/CVE-2026-31431.html

3. 缓解措施：

   # 禁用内核模块
   echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
   
   # 卸载已加载模块
   rmmod algif_aead 2>/dev/null
   

   注： 针对静态编译进内核的系统（例如：RHEL/CentOS/Rocky Linux/AlmaLinux 8, 9, 10 三代产品），此缓解措施可能无法生效，建议更新官方内核补丁。

   # 验证
   python3 -c 'import socket; s=socket.socket(38,5,0); (s.bind(("aead", "authencesn(hmac(sha256),cbc(aes))")) or print("未缓解")) if s else None' 2>/dev/null || echo "已缓解"
   

4. 容器环境加固
   通过 seccomp 禁止 AF_ALG socket 创建（family=38）：

   "syscalls": [{
     "names": ["socket"],
     "action": "SCMP_ACT_ERRNO",
     "args": [{
       "index": 0,
       "value": 38,
       "op": "SCMP_CMP_EQ"
     }]
   }]
   

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

• https://copy.fail/
• https://xint.io/blog/copy-fail-linux-distributions
• https://github.com/theori-io/copy-fail-CVE-2026-31431/
• https://nvd.nist.gov/vuln/detail/CVE-2026-31431

腾讯云安全解决方案

• 腾讯T-Sec 主机安全已支持该漏洞检测

2026-04-30