文章总结： 该文档通告LinuxKernel存在本地权限提升漏洞CVE-2026-31431，漏洞源于algifaead组件处理AEAD接口时存在逻辑缺陷，允许本地低权限用户通过AFALG和splice操作篡改文件缓存实现权限提升。影响范围涵盖Ubuntu、AmazonLinux、RHEL等多个主流发行版，威胁等级高危。官方已发布修复补丁，建议用户更新内核版本或采取最小权限原则等临时缓解措施。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,解决方案,安全运营,终端安全

【漏洞通告】Linux Kernel Copy Fail 本地权限提升漏洞(CVE-2026-31431)

深瞳漏洞实验室 深瞳漏洞实验室

深信服千里目安全技术中心

2026年4月30日 16:55 北京

在小说阅读器读本章

去阅读

漏洞名称：

Linux Kernel Copy Fail 本地权限提升漏洞(CVE-2026-31431)

组件名称：

Linux Kernel

影响范围：

Ubuntu 24.04(LTS 6.17.0-1007-aws 及以下) Amazon Linux 2023(6.18.8-9.213.amzn2023 及以下) Red Hat Enterprise Linux 10 Red Hat Enterprise Linux 9 Red Hat Enterprise Linux 8 SUSE 16(6.12.0-160000.9-default 及以下) Debian / Arch / Fedora / Rocky / Alma / Oracle等同期内核版本均受影响 受影响的内核提交范围： commit 72548b093ee3 ≤ version < commit a664bf3d603d

漏洞类型：

权限提升

利用条件：

1、用户认证：需要用户认证

2、前置条件：默认配置

3、触发方式：本地

综合评价：

<综合评定利用难度>：中等，需要本地低权限执行条件。

<综合评定威胁等级>：高危，可提升至root权限。

官方解决方案：

已发布

漏洞分析

组件介绍

Linux内核（Linux Kernel）是一个开源的操作系统内核，它是Linux操作系统的核心组件，负责管理计算机的硬件资源，并提供了许多系统服务，如进程管理、内存管理、文件系统管理和设备驱动程序等。

漏洞简介

2026年4月30日，深瞳漏洞实验室监测到一则Linux Kernel组件存在权限提升漏洞的信息，漏洞编号：CVE-2026-31431，漏洞威胁等级：高危。

Linux Kernel 的加密子系统 algif_aead 在处理 AEAD 接口的 in-place 操作时存在逻辑缺陷。该问题与 2017 年引入的 commit 72548b093ee3 有关，攻击者在具备本地低权限账户的情况下，可通过 AF_ALG、splice 与 authencesn 解密路径触发对文件 page cache 的可控写入，从而可能篡改只读文件或 SUID 程序在内存中的缓存内容，最终造成本地权限提升。该漏洞不能单独远程利用，但在共享主机、CI Runner、容器/多租户环境中风险较高。官方修复方式是回退 algif_aead 中不必要的 in-place 操作逻辑，并改为直接复制关联数据。

影响范围

Ubuntu 24.04(LTS 6.17.0-1007-aws 及以下) Amazon Linux 2023(6.18.8-9.213.amzn2023 及以下) Red Hat Enterprise Linux 10 Red Hat Enterprise Linux 9 Red Hat Enterprise Linux 8 SUSE 16(6.12.0-160000.9-default 及以下) Debian / Arch / Fedora / Rocky / Alma / Oracle等同期内核版本均受影响 受影响的内核提交范围： commit 72548b093ee3 ≤ version < commit a664bf3d603d

解决方案

官方修复建议

官方已发布最新版本修复该漏洞，建议受影响用户更新到最新版本。 下载链接：https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5

临时修复建议

• 关闭未使用的功能模块，减少潜在攻击入口。

• 遵循最小权限原则，严控各类敏感操作权限范围。

• 非必要不暴露服务到公网，限制访问源为可信范围。

• 定期更新系统及各类组件至安全版本，及时修补已知隐患。

深信服解决方案

风险资产发现

支持对Linux Kernel的主动检测，可批量检出业务场景中该事件的受影响资产情况，相关产品如下：

【深信服云镜YJ】 已发布资产检测方案，指纹ID:0006320。

【深信服漏洞评估工具TSS】已发布资产检测方案，指纹ID:0006320。

参考链接

https://www.openwall.com/lists/oss-security/2026/04/29/23

时间轴

2026/04/30

深瞳漏洞实验室监测到Linux Kernel Copy Fail 本地权限提升漏洞信息。

2026/04/30

深瞳漏洞实验室发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：深信服千里目安全技术中心 深瞳漏洞实验室 深瞳漏洞实验室《【漏洞通告】Linux Kernel Copy Fail 本地权限提升漏洞(CVE-2026-31431)》