Linux内核Copy Fail漏洞检测及修复（CVE-2026-31431）

本次公开的CVE-2026-31431漏洞，是一则存在于Linux内核algif_aead与authencesn组件中的页缓存临时写入漏洞。

该漏洞存在于Linux内核加密子系统相关逻辑中，攻击者在获得本地普通用户权限后，可通过AF_ALG、splice()与authencesn相关逻辑组合，触发对page cache的受控写入，从而实现本地提权。安全研究团队同步放出了完整检测工具与概念验证POC提权脚本，可实现低权限用户本地提权至root权限。

该漏洞的核心风险并非远程直接入侵，而是放大已有权限：一旦攻击者获得任意低权限执行点，即可瞬间提升为root权限。因此，在多用户 Linux主机、Kubernetes节点、容器平台、CI/CD构建机、自建Runner、云端Notebook、沙箱执行环境等场景下，其危害远高于普通单用户服务器。研究机构特别强调：page cache是宿主机全局共享，这意味着漏洞不仅能本地提权，还可实现容器逃逸、跨租户越权。

受影响产品与内核版本

1、内核版本：2017 年内核72548b093ee3补丁，引入AEAD运算逻辑，埋下漏洞隐患。
2、模块配置：默认启用algif_aead模块，或支持动态加载该模块的系统。
3、权限条件：允许非特权普通用户创建AF_ALG套接字的运行环境。
4、业务场景：运行多租户任务、容器、CI/CD作业、沙箱执行等共享内核的环境。
5、受影响的发行版：Ubuntu 24.04 LTS、Amazon Linux 2023、RHEL、SUSE、Debian、Arch、Fedora、Rocky、Alma、Oracle Linux及各类嵌入式 Linux，只要使用受影响内核，均存在风险。

漏洞检测代码

该检测代码基于Python 3.10+编写，无需其他依赖

如已中招，python执行后，即可看到如下类似提示内容

[*] CVE-2026-31431 detector kernel=5.4.241-30.0017.19 arch=x86_64
[i] Kernel 5.4.241-30.0017.19 predates the affected 6.12/6.17/6.18 lines; trigger may not apply even if prerequisites match.
[+] AF_ALG + 'authencesn(hmac(sha256),cbc(aes))' loadable - precondition met.
[!] VULNERABLE to CVE-2026-31431.
[!] Marker b'PWND' (AAD seqno_lo) landed in the spliced page-cache page at offset 0.
[!] Surrounding bytes: 50574e444641494c2d53454e (b'PWNDFAIL-SEN')
[!] Apply the upstream fix or block algif_aead immediately.

漏洞修复方法

方法一（临时）：

在无法立即升级内核的情况下，可临时禁用algif_aead模块

验证

如果不显示结果，则表示当前模块未加载

方法二（永久）：

应立即通过发行版官方渠道升级Linux kernel，确保新内核包含主线修复提交，常见发行版可参考如下操作，更新内核补丁后，必须重启操作系统。

原文链接：Linux内核Copy Fail漏洞检测及修复（CVE-2026-31431），转载请注明来源！