大工网安告[2026013]

一、 情况分析

Linux内核是一款开源的类UNIX操作系统内核，作为Linux系统的核心组件，负责管理系统硬件资源、进程调度、内存管理、文件系统与网络通信等核心功能，为各类应用程序提供底层支撑与系统调用接口。其广泛应用于服务器、桌面终端、移动设备、嵌入式系统与云计算环境，是全球主流IT基础设施的核心运行载体，具备高稳定性、高可移植性与高扩展性，支持多架构、多任务与多用户并发运行。

近日，监测到官方修复Linux Kernel本地权限提升漏洞(CVE-2026-31431)，该漏洞源于内核加密子系统中的一处逻辑缺陷，攻击者可以利用AF_ALG加密接口与splice()系统调用的组合，向任意可读文件的页缓存写入受控的4字节数据，从而篡改setuid程序，无需竞争条件即可直接获得root权限。目前该漏洞PoC和技术细节已公开。

威胁类型：权限提升。

技术类型：领域间资源转移错误。

危害描述：

❖ 本地权限提升。任何无特权的本地普通用户均可利用该漏洞篡改高权限进程（如 /usr/bin/su），直接获取系统最高级别的 root 权限。

❖ 容器逃逸与跨租户攻击。由于操作系统的页缓存在宿主机与所有容器之间共享，容器内的攻击者一旦掌握适当的系统调用权限，即可篡改宿主机的页缓存，实现容器逃逸并接管整个Kubernetes节点或宿主机资源。

❖ 高危场景威胁。对多用户共享主机、开发机、CI/CD执行器（如GitHub Actions、GitLab Runner等沙盒环境）以及Serverless等多租户云服务造成严重的跨越隔离界限的威胁。

二、 影响版本

该漏洞影响内核版本在 commit 72548b093ee3 (linux/commit/72548b093ee3)（引入，2017年8月9日）至 commit a664bf3d603d (linux/commit/a664bf3d603d)（修复补丁，2026年3月31日）之间的所有Linux系统。默认配置下启用或可按需加载 algif_aead 模块的系统均在受影响之列。

受影响内核版本：

4.14 <= Linux Kernel < 5.10.254

5.11 <= Linux Kernel < 5.15.204

5.16 <= Linux Kernel < 6.1.170

6.13 <= Linux Kernel < 6.18.22

6.19 <= Linux Kernel < 6.19.126.2 <= Linux Kernel < 6.6.1376.7 <= Linux Kernel < 6.12.85

7.0-rc1 <= Linux Kernel <= 7.0-rc6

不受影响的内核版本：

Linux Kernel >= 5.10.254

Linux Kernel >= 5.15.204

Linux Kernel >= 6.1.170

Linux Kernel >= 6.18.22

Linux Kernel >= 6.19.12

Linux Kernel >= 6.6.137

Linux Kernel >= 6.12.85

Linux Kernel >= 7.0-rc7

目前已知受影响的发行版本：

Ubuntu 24.04 LTS 及以下版本

Amazon Linux 2023 及以下版本

Red Hat Enterprise Linux 8/9/10及以下版本

SUSE 16 及以下版本

Debian/Arch/Fedora/Rocky/Alma/Oracle/OpenEuler/OpenAnolis 等同期内核版本

目前已知不受影响的发行版本：

Debian 13 >= 6.12.85-1

Debian 12 >= 6.1.170-1

Debian 11 >= 5.10.251-3

Rocky Linux 10 >= 6.12.0-124.55.1.el10_1

Rocky Linux 9 >= 5.14.0-611.54.1.el9_7

Rocky Linux 8 >= 4.18.0-553.123.1.el8_10

Amazon Linux 2 >= 4.14.355-281.727.amzn2

Amazon Linux 2023 >= 6.1.168-203.330.amzn2023

Red Hat Enterprise Linux 10 >= 6.12.0-124.55.1.el10_1

Red Hat Enterprise Linux 9 >= 5.14.0-611.54.1.el9_7

Red Hat Enterprise Linux 8 >= 4.18.0-553.123.1.el8_10

openSUSE Leap 15.6 >= 6.4.0-150600.23.100.1

openSUSE Leap 16.0 >= 6.12.0-160000.29.1

三、 排查方法

内核版本自查通过命令行执行 uname -r 查看当前内核版本，并对照官方修复的内核版本号判断是否处于受影响区间。

四、 处置与修复建议

修复解决方案：

各主要Linux发行版厂商基本都已发布内核更新补丁，请根据各Linux发行版厂商官方升级方案进行内核升级，升级内核后需重启才可生效。

临时缓解措施：

若无法立即升级内核或重启，可临时禁用algif_aead内核模块阻止漏洞利用，使用 root 权限执行以下命令：

# 重定向内核模块加载二进制

echo"install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

# 卸载该模块

rmmod algif_aead

# 清空文件系统缓存，使漏洞利用时被篡改的缓存失效

sync && echo 3 >/proc/sys/vm/drop_caches;

后续该模块加载时，将重定向至/bin/false，阻断漏洞利用。请注意，若卸载模组时提示 rmmod: ERROR: Module algif_aead is builtin.（如 Rocky Linux 8、OpenAnolis 等发行版），此时该模块无法通过modprobe控制加载，此临时缓解措施无效。

容器环境阻断。对于运行未受信任工作负载的容器或Kubernetes集群，建议通过 Seccomp profile 或其他安全策略，直接阻断容器内部的 AF_ALG socket 创建请求。

五、 参考

Copy.fail 网站： https://copy.fail/

漏洞报告者 Xint Code 技术分析：https://xint.io/blog/copy-fail-linux-distributions

CNVD 安全公告：https://www.cnvd.org.cn/webinfo/show/12336

腾讯云安全通告：https://cloud.tencent.com.cn/announce/detail/2277

教育网信发布公众号：https://mp.weixin.qq.com/s/sEzU6MoeJ9mwVBZ9YOwLFQ