源文档:https://forums.rockylinux.org/t/copyfail-cve-2026-31431-patches-now-available-for-rocky-linux/20422

发生了什么事?

4月29日,Theori的安全研究人员披露了一个名为CopyFail的Linux内核漏洞,该漏洞的追踪编号为CVE-2026-31431。自2017年以来构建的几乎所有主流Linux内核中都存在这一漏洞。

该漏洞位于内核的algif_aead模块中——即用户空间加密API(AF_ALG)的AEAD套接字接口。authencesn 中的逻辑缺陷通过 AF_ALG 和 splice() 系统调用形成链式攻击,允许无特权的本地用户对页面缓存执行受控的 4 字节写入。通过篡改 /usr/bin/su 等 setuid 二进制文件的内存副本(无需触及磁盘上的任何内容),攻击者可在数秒内提升权限至 root。

该漏洞的突出之处在于:仅需 732 字节的 Python 概念验证脚本,无需利用竞态条件,无需针对不同发行版进行调整,也无需特殊权限。同一脚本在不同发行版上无需修改即可运行。由于磁盘内容未发生任何变化,文件完整性工具无法检测到该漏洞。这使得该漏洞在多租户主机、Kubernetes 节点和 CI/CD 运行器上尤为危险——在这些环境中,共享的页面缓存意味着一个受感染的工作负载就可能威胁整个节点。

研究人员已经公开发布了该漏洞。将其视为可积极利用的。

如何修复

目前所有支持的 Rocky Linux 版本均可获得补丁。运行以下程序并重启:

sudo dnf --refresh update ‘kernel*’
sudo reboot

就这样。--refresh标志确保你拉取最新的元数据,而不用重新下载已有的包。

已修补的内核版本:

  • Rocky Linux 8.10:kernel-4.18.0-553.123.1.el8_10及以上版本
  • Rocky Linux 9.7:kernel-5.14.0-611.54.1.el9_7及以上版本
  • Rocky Linux 10.1:kernel-6.12.0-124.55.1.el10_1及以上版本

重启后用uname -r确认内核是否运行。