資安公司 Theori 旗下的 Xint Code 團隊近日發布了一項被稱為 Copy Fail 的重大安全缺陷。該團隊詳細說明攻擊者如何僅利用 732 位元組的 Python 腳本,透過 Linux 核心的 algif_aead 模組邏輯缺陷,在幾乎所有主流發行版中取得 root 權限。目前美國國家標準暨技術研究院也已將此漏洞登錄為 CVE-2026-31431 並提供相關細節。
官方技術詳解與Copy Fail測試腳本發布
最初發現此問題的團隊已經將所有技術細節集中發布於 Copy Fail 專屬網站。網站內包含完整的測試腳本與系統底層邏輯錯誤的深入分析,從這個網站可以清楚了解到攻擊者如何利用該缺陷在各大廠的主流系統環境中取得最高權限。
各大發行版核心修補進度整理
針對此次 Copy Fail 事件,多數作業系統供應商皆已積極展開應對措施。CloudLinux 官方表示正在為所有受影響版本準備修補程式,並透過旗下的 KernelCare 提供不需重新開機的即時修補方案。另一方面,AlmaLinux 的測試套件庫中也已出現修復後的核心版本,例如 CL9 的 kernel-5.14.0-611.49.2.el9_7 等。
在 Red Hat 方面,官方已確認 Copy Fail 漏洞影響 RHEL 8 以及 9 與 10 等多個主流版本,並將其嚴重性評級為重要。目前絕大部分受影響的核心套件狀態標示為確認受影響,修補程式製作中或等待更新釋出。
根據 AWS 安全中心公告,針對 Amazon Linux 2 以及 Amazon Linux 2023 的多個 Kernel 版本,目前的修補狀態同樣為修補程式待發布。
歐盟與各大廠安全應對措施
SUSE 確認其 SUSE Linux Enterprise Server 12 以及 15 與 16 等系列皆受影響,目前修補狀態多數仍待發布。在發布的資安公告中,歐盟電腦緊急應變小組強烈建議在修補程式就緒前暫時停用相關模組,公告中提供的指令是將 install algif_aead /bin/false 寫入設定檔中。SUSE 官方發出的安全指引中也指示管理者目前先以黑名單方式停用模組以保護系統,防護步驟同樣包含寫入該指令以阻擋有風險的載入動作。
總結與暫時性防護建議
在等待官方套件庫全面推送最新 Kernel 修補程式的期間,包含歐盟電腦緊急應變小組以及上述原廠在內的資安專家,皆強烈建議管理者主動透過 modprobe 配置加入黑名單,例如在 /etc/modprobe.d/ 目錄下建立相關設定,來直接停用 algif_aead 核心模組,藉此阻斷 Copy Fail 漏洞遭本地使用者或受感染的容器利用。
首圖由 Nano Banana AI 生成
