潜伏9年的Linux内核漏洞"Copy Fail"可获取完整root权限

网络安全研究公司Theori在Linux内核中发现了一个令人惊讶的漏洞，该漏洞自2017年就存在。这个被命名为Copy Fail（CVE-2026-31431）的漏洞允许普通用户完全控制系统。

Theori公司的Xint Code研究团队在研究员Taeyang Lee的初步线索指引下，使用其AI驱动的代码审计工具发现了这个隐藏错误。问题出在Linux加密子系统（特别是algif_aead模块）处理安全任务的方式上。

微小脚本的巨大破坏力
理解这个漏洞需要了解页缓存（page cache）机制。页缓存是计算机内存的一部分，用于存储文件片段以实现快速读取，避免每次都要访问存储设备。Copy Fail的成因是authencesn工具在使用AEAD算法加密数据并验证完整性时出现错误。

当该工具为网络安全整理数据时，会意外将4字节信息写入错误位置。由于2017年Linux代码中添加的加速变更，这4字节最终会进入重要文件的页缓存中。

攻击者仅需使用一个732字节的Python脚本，就能修改如/usr/bin/su（高权限程序）等文件的内存映像。虽然磁盘上的实际文件保持不变，但内存中运行的版本已被篡改，使攻击者能获取root shell，获得系统最高管理权限。

研究人员提供的演示视频

漏洞的特殊性
多数安全漏洞因需要精确时机或多重尝试而难以利用，但Copy Fail作为逻辑漏洞每次都能稳定触发。Xint Code研究人员发现同一简单脚本可在不同Linux版本上生效，包括Ubuntu 24.04 LTS、Amazon Linux 2023、Red Hat Enterprise Linux 10.1和SUSE 16。

由于修改仅发生在内存而非磁盘，该漏洞几乎不留下取证痕迹。这也是多年来文件完整性检查工具未能发现它的原因。此次发现得益于Xint Code平台对数百万行代码的扫描分析。

Linux已发布修复补丁（提交记录a664bf3d603d），改变系统处理数据的方式：从易导致数据泄露的原位处理方法，改为强制在独立区域创建安全副本。专家建议无法立即更新的用户禁用algif_aead模块，这不会影响浏览器或SSH等日常应用。

专家观点
Bugcrowd首席AI与科学官David Brumley向Hackread.com强调该漏洞的极端严重性："如果向顶级内核研究员描述这个漏洞...他们会说这类漏洞在黑市上的价值堪比一栋房子。"他指出Copy Fail的致命性在于其跨发行版的可靠性："这是纯粹的线性逻辑缺陷，可靠性非概率性，同一脚本适用于所有发行版。"

Brumley警告不应因"高危"而非"严重"评级掉以轻心，尤其对共享服务器用户："页缓存是共享的，一个容器的写入会影响主机页缓存，进而影响该主机上的所有租户。"他认为这一发现标志着网络安全格局的变化："Copy Fail证明'发现内核级漏洞成本高昂'的假设已不成立...发现深层逻辑缺陷的成本可能已下降约一个数量级。"