文章总结： CVE-2026-31431是Linux内核加密子系统authencesn模块的高危本地提权漏洞，攻击者通过AFALG套接字和splice()系统调用可实现任意文件页缓存的4字节越界写入。漏洞影响2017年8月至2026年3月间的主流Linux发行版，云服务器和容器环境风险突出。修复方案包括升级内核至安全版本或临时禁用algifaead模块，另提供基于eBPF的轻量级防护工具可实现精准拦截。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,应急响应,安全工具,解决方案

漏洞预警 | Copy Fail本地提权漏洞风险预警 CVE-2026-31431

永恒之锋实验室 永恒之锋实验室

Eonian Sharp

2026年5月1日 01:32 新加坡

在小说阅读器读本章

去阅读

CVE-2026-31431

漏洞介绍

近期，Linux内核中被披露存在一个高危的本地权限提升漏洞（漏洞代号：Copy Fail，CVE编号：CVE-2026-31431）。该漏洞由Xint Code研究团队发现，是一个隐蔽且极易触发的内核逻辑缺陷。攻击者利用该漏洞可以实现稳定、确定性的提权操作。目前，该漏洞的完整利用代码（PoC）已经公开，受影响时间跨度长达近十年（自2017年起），且覆盖所有主流Linux发行版本。云服务器、容器宿主机及多租户环境面临极高的安全风险。

漏洞原理

该漏洞源于Linux内核加密子系统中 authencesn 模块的逻辑缺陷。当攻击者结合使用 AF_ALG 套接字和 splice() 系统调用时，会将目标文件的页缓存（Page Cache）引用暴露在可写的散列表（Scatterlist）中，从而允许无特权的本地用户向系统内任意可读文件（如 setuid 的 su 二进制文件）的页缓存中进行精确的4字节越界写入。

影响版本

该漏洞影响内核版本在 commit 72548b093ee3 (linux/commit/72548b093ee3)（引入，2017年8月9日）至 commit a664bf3d603d (linux/commit/a664bf3d603d)（修复补丁，2026年3月31日）之间的所有Linux系统。默认配置下启用或可按需加载 algif_aead 模块的系统均在受影响之列。已知受影响的主流产品及版本包括但不限于：Ubuntu 24.04 LTS 及以下版本Amazon Linux 2023 及以下版本RedHat Enterprise Linux (RHEL) 8 / 9 / 10 及以下版本SUSE 16 及以下版本Debian / Arch / Fedora / Rocky / Alma / Oracle / OpenEuler 等同期内核版本不受影响的版本：内核主线 7.0 及以上稳定版 6.18.22 及以上稳定版 6.19.12 及以上截至撰稿时间2026年4月30日14:30，仍在长期支持中的受影响内核版本：6.12 所有版本6.6 所有版本6.1 所有版本5.15 所有版本5.10 所有版本

检测方法

• 内核版本自查

  通过命令行执行 uname -r 查看当前内核版本，并对照官方修复的内核版本号判断是否处于受影响区间。

• 内核模块排查

  检查系统是否加载或允许加载 algif_aead 模块，可执行命令：lsmod | grep algif_aead 或 lsof | grep AF_ALG。

• who | 司稽

修复建议

当更新可用时，立即升级内核

# Ubuntu / Debian
apt update && apt upgrade linux-image-$(uname -r)
# RHEL / CentOS / Rocky / Alma
dnf update kernel
# Amazon Linux
yum update kernel
# SUSE
zypper update kernel-default

部署临时缓解措施（禁用内核模块）：若暂无法重启或升级内核，建议立即禁用相关的漏洞触发模块。使用 root 权限执行以下命令：

当更新可用时，立即升级内核

# 重定向内核模块加载二进制
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
# 如已经加载该模块则卸载
# 若提示 rmmod: ERROR: Module algif_aead is not currently loaded 可忽略
rmmod algif_aead
# 清空文件系统缓存，使漏洞利用时被篡改的缓存失效
sync && echo 3 >/proc/sys/vm/drop_caches;
# 后续该模块按需加载时，将重定向至 /bin/false ，阻断漏洞利用

copyfail-ebpf-mitigation  Rust项目

https://github.com/Jannik2099/copyfail-ebpf-mitigation

这是专门针对 CVE-2026-31431（CopyFail） Linux 内核高危本地提权漏洞的轻量级 eBPF LSM 防护工具，以最小侵入性阻断漏洞利用，不影响正常业务。

一、核心定位

• 用途：eBPF LSM 过滤器 + 用户态日志，精准拦截 CopyFail 漏洞利用
• 防护目标：CVE-2026-31431（内核 AF_ALG/algif_aead 模块页缓存写入缺陷，可本地提权、容器逃逸）
• 特点：细粒度拦截、无业务影响、持久生效、易部署

二、防护原理

• 精准拦截：拒绝所有使用 bind() 且 salg_name=authencesn 的操作（漏洞利用关键特征）
• 最小影响：仅阻断恶意 AF_ALG 调用，不影响正常 AF_ALG 合法使用
• 持久生效：LSM 策略启动后 pin 在内核，用户态进程被杀仍保持防护
• 白名单机制：默认放行 uid=0（root），可自定义放行用户

编译+运行

cargo build --release && sudo ./target/release/copyfail-ebpf-mitigation
卸载防护（取消pin）
rm -rf /sys/fs/bpf/copyfail-ebpf-mitigation

零误杀：只拦漏洞利用特征，不影响正常加密 / 网络业务

热防护：无需重启、无需禁用内核模块、不改动内核代码

强持久：防护策略 pin 在内核，抗进程杀死

易运维：一键编译运行、一键卸载，日志可审计

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Eonian Sharp 永恒之锋实验室 永恒之锋实验室《漏洞预警 | Copy Fail本地提权漏洞风险预警 CVE-2026-31431》