Linux Kernel 本地提权公告(CVE-2026-31431)
最近更新时间: 2026-04-30 14:49:41
我的收藏
本页目录:
TencentOS Server 安全团队监测到 CVE 官网披露 Linux 内核 algif_aead 模块(AF_ALG 加密接口)本地权限提升漏洞(CVE-2026-31431),该漏洞源于 2017 年引入的 authencesn 解密路径原地(in-place)操作优化存在逻辑缺陷。该漏洞影响 TencentOS Server 2、TencentOS Server 3、TencentOS Server 4的产品。监测到漏洞情报后,安全团队第一时间对漏洞进行分析和修复。
注意:
若您已使用 TencentOS Server,建议您及时开展风险自查,如受影响,请及时根据 TencentOS Server 提供的方案进行防护,确保您的系统安全。
1. 漏洞详情
Linux 内核的 algif_aead 模块(AF_ALG 加密接口)是用户态程序使用内核 AEAD(带关联数据的认证加密)算法的网络协议族接口,广泛存在于 2017年后发布的所有主流 Linux 发行版本。攻击者需具备本地普通用户或容器内代码执行权限,在未修复的 Linux 内核(4.14及以后版本),攻击者通过创建 AF ALG 套接字,结合 splice0 与 authencesn 模板触发缺陷,向任意可读文件的 page cache 写入受控字节,最终篡改 setuid 可执行文件获取 root 权限。
警告:
目前该漏洞的漏洞细节、POC 已公开,需要您尽快进行处理,以免出现安全事件。
2. 受影响 TencentOS Server 版本
- TencentOS Server 4
- TencentOS Server 3.3(TK4)
- TencentOS Server 3.1(TK4)
- TencentOS Server 2.4(TK4)
3. 临时缓解措施
注意:
该漏洞利用了algif_aead模块,若您的业务使用了此模块,需要根据业务情况,评估后再禁用该模块。
查看是否加载 algif_aead 模块:
lsmod | grep algif_aead #确认是否有加载 algif_aead
若有输出,则表示已经加载,需要执行卸载命令并禁用该模块(需 root 权限):
# 立即卸载模块(如已加载)
sudo rmmod algif_aead
# 禁用该模块
sudo echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
若检查 algif_aead 模块没有输出,则禁止加载algif_aead 模块(需 root 权限):
# 禁用该模块
sudo echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
缓解验证
grep -r "install algif_aead /bin/false" /etc/modprobe.d/disable-algif-aead.conf
返回 install algif_aead /bin/false 表示配置已生效,服务器重启后模块也不会被再次加载。
4. 漏洞修复方案
目前在紧急修复中,修复完成后,TencentOS Server 会在第一时间将官方漏洞补丁推送至系统仓库,您可通过升级命令,将内核升级至安全版本,以修复漏洞。