Добавить в корзинуПозвонить
Найти в Дзене
Entry Point
11 подписчиков

CVE-2026-31431 Copy Fail: 732 Bytes to Root on Every Major Linux Distribution

5
1 мин
Уязвимы версии ядра Linux (начиная с 2017 года выпуска) до коммита основной ветки a664bf3d603d Описание: Логическая ошибка в algif aead криптографическом модуле ядра позволяет непривилегированному локальному пользователю получить права root. Проблема связана с оптимизацией на месте, введенной в 2017 году, которая нарушила критическое предположение о безопасности. Используя AF ALG интерфейс сокета и splice() функцию, злоумышленник может инициировать контролируемую запись 4-байтового файла в кэш страниц (высокоскоростную копию файлов в памяти ядра). Это позволяет изменять доверенные программы, такие как /usr/bin/su, в памяти без изменения файла на диске, тем самым обходя проверки целостности. Поскольку кэш страниц используется совместно на хосте, это может позволить обойти защиту контейнеров в таких средах, как Kubernetes, CI-серверы и облачные песочницы. Уязвимость конкретно связана с authencesn шаблоном AEAD, где decode() функция записывает данные за пределы буфера RX в следующую цепо

CVE-2026-31431 Copy Fail: 732 Bytes to Root on Every Major Linux Distribution.

Уязвимы версии ядра Linux (начиная с 2017 года выпуска) до коммита основной ветки a664bf3d603d

Описание:

Логическая ошибка в algif aead криптографическом модуле ядра позволяет непривилегированному локальному пользователю получить права root. Проблема связана с оптимизацией на месте, введенной в 2017 году, которая нарушила критическое предположение о безопасности. Используя AF ALG интерфейс сокета и splice() функцию, злоумышленник может инициировать контролируемую запись 4-байтового файла в кэш страниц (высокоскоростную копию файлов в памяти ядра). Это позволяет изменять доверенные программы, такие как /usr/bin/su, в памяти без изменения файла на диске, тем самым обходя проверки целостности. Поскольку кэш страниц используется совместно на хосте, это может позволить обойти защиту контейнеров в таких средах, как Kubernetes, CI-серверы и облачные песочницы. Уязвимость конкретно связана с authencesn шаблоном AEAD, где decode() функция записывает данные за пределы буфера RX в следующую цепочку страниц.

Рекомендации:

Обновить kernel до версии, где есть фикс a664bf3d603d.

Проверить advisories вашего дистрибутива: Ubuntu, Debian, RHEL, Amazon Linux, SUSE и т.д. В качестве временного решения отключите algif aead модуль, выполнив команду:

echo "install algif aead /bin/false" > /etc/modprobe.d/disable-algif.conf && rmmod algif aead 2>/dev/null || true

Для контейнеризированных или многопользовательских рабочих нагрузок (untrusted workloads) заблокируйте доступ к AF ALG криптографическому интерфейсу с помощью политики seccomp/AppArmor/LSM, где это возможно.

Критичный приоритет для обновления:

• shared-хостинги и bastion/dev-серверы

• Kubernetes-ноды и контейнерные платформы

• CI/CD runner’ы, где выполняется чужой код

• SaaS-платформы с user-controlled execution

• университетские/лабораторные Linux-хосты

• любые серверы, где есть локальные пользователи или untrusted workloads