文章总结： 绿盟科技CERT披露Linux内核权限提升漏洞CVE-2026-31431（CopyFail），该漏洞源于algifaead子系统在AEAD解密与splice()调用时存在逻辑缺陷，允许本地攻击者通过AFALGsocket操作篡改内存页缓存实现root提权，影响2017年后多数Linux发行版。CVSS评分7.8，漏洞利用稳定且隐蔽。建议升级至内核6.18.22/6.19.12/7.0或禁用algif_aead模块临时防护。 综合评分： 87 文章分类： 漏洞分析,漏洞预警,解决方案,Linux安全,应急响应

【已复现】Linux内核权限提升漏洞（CVE-2026-31431）

原创

NS-CERT NS-CERT

绿盟科技CERT

2026年4月30日 12:07 北京

在小说阅读器读本章

去阅读

通告编号 NS-2026-0011

2026-04-30

| | | | — | — | | TAG： | Linux、kernel、CVE-2026-31431 | | 漏洞危害： | 攻击者利用此漏洞，可实现系统权限提升。 | | 版本： | 1.0 |

1

漏洞概述

近日，绿盟科技CERT监测到网上披露了Linux内核权限提升漏洞（CVE-2026-31431），被命名为”Copy Fail”；由于algif_aead子系统在AEAD解密过程和splice() 系统调用时存在逻辑缺陷，具有普通权限的本地攻击者可通过构造特定的AF_ALG socket操作序列篡改任意可读文件（setuid等）在内存中的页缓存副本，从而实现从普通用户提升至root权限。在多租户服务器、跳板机或容器云环境中，普通用户及容器内进程可借此实现本地提权或容器逃逸。CVSS评分7.8，目前漏洞细节与PoC已公开，请相关用户尽快采取措施进行防护。

注：该漏洞具有极高的稳定性和隐蔽性。攻击者通过运行简短脚本，即可精准篡改 su 等高权限程序在内存中的执行指令；由于该利用过程属于确定性逻辑触发，不依赖竞态条件，且仅篡改内存数据而不破坏磁盘原始文件，导致基于磁盘扫描的传统安全工具难以实时发现。

Linux内核是操作系统的核心组件，负责进程管理、内存管理、设备驱动、文件系统及网络协议栈等关键功能，广泛部署于服务器、桌面系统及嵌入式设备中。AF_ALG是Linux内核提供的一个socket接口，允许无特权用户空间程序直接调用内核加密子系统（如AES、SHA256等），无需用户态加密库，常用于高性能网络协议（如IPsec）和安全应用。

绿盟科技已在多个Linux发行版复现此漏洞：

参考链接：

https://copy.fail/

https://www.openwall.com/lists/oss-security/2026/04/29/26

SEE MORE →

2影响范围

受影响版本

• 72548b093ee3 <= commit < a664bf3d603d

注：此漏洞从2017年引入，影响Ubuntu、Amazon Linux、Debian、CentOS、RHEL、SUSE、Fedora等绝大多数Linux发行版。

不受影响版本

• Linux Kernel >= 6.18.22

• Linux Kernel >= 6.19.12

• Linux Kernel  >= 7.0

注：可升级至各发行版集成commit补丁a664bf3d603d的内核版本

3漏洞检测

人工检测

Linux系统用户可以通过查看内核版本来判断当前系统是否在受影响范围内，查看操作系统版本信息命令如下：

| | | — | | cat /proc/version |

可使用下列命令检查algif_aead模块的状态：

| | | — | | lsmod | grep algif_aead |

注：若系统内核在受影响范围且加载了该模块，则存在安全风险。

4漏洞防护

官方升级

目前官方已发布新版本与安全补丁修复此漏洞，请受影响的用户尽快更新进行防护，下载链接：

Linux Kernel 6.18.22

https://git.kernel.org/stable/c/fafe0fa2995a0f7073c1c358d7d3145bcc9aedd8

Linux Kernel 6.19.12

https://git.kernel.org/stable/c/ce42ee423e58dffa5ec03524054c9d8bfd4f6237

Linux Kernel 7.0

https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5

其他防护措施

若相关用户暂时无法进行升级更新，可使用以下措施进行临时防护：

1、在不影响业务的情况下，可通过禁用algif_aead模块以阻断攻击面：

| | | — | | echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf && rmmod algif_aead 2>/dev/null |

2、在容器或CI/CD环境，建议通过Seccomp配置禁止进程创建AF_ALG类型的套接字，以防止容器逃逸风险。

END

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

绿盟科技CERT∣微信公众号

长按识别二维码，关注网络安全威胁信息

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：绿盟科技CERT NS-CERT NS-CERT《【已复现】Linux内核权限提升漏洞（CVE-2026-31431）》