文章总结： 本文介绍了LinuxKernel本地权限提升漏洞CVE-2026-31431（代号CopyFail）的详细信息，包括漏洞的发现、影响范围、验证结果以及修复建议。该漏洞存在于内核crypto:algif_aead模块中，影响过去9年内大多数主流Linux发行版。文章还提供了漏洞验证PoC代码，并给出了修复方案，包括升级内核版本和临时禁用相关模块等。 综合评分： 85 文章分类： 漏洞分析,代码审计,应急响应,安全意识,实战经验

人工验真！Linux提权漏洞，影响这么多信创！（附稳定验证PoC）

利刃信安 利刃信安

利刃信安

2026年5月1日 10:11 北京

在小说阅读器读本章

去阅读

人工验真！Linux提权漏洞，影响这么多信创！（附稳定验证PoC）

一、 漏洞概况

微步情报局监测到，Linux Kernel 被披露存在本地权限提升漏洞，漏洞编号 CVE-2026-31431，代号 “Copy Fail”。该漏洞源于内核 crypto: algif_aead 模块在处理 AEAD操作时的逻辑缺陷，可导致本地低权限攻击者通过 AF_ALG 加密接口向任意可读文件的页缓存（page cache）写入受控的少量数据（PoC 中为 4 字节块），进而篡改 setuid 等特权二进制文件，实现本地权限提升至 root。

目前该漏洞细节及 PoC 已公开，利用门槛极低（仅需约 10 行 Python 脚本），影响过去 9 年内大多数主流 Linux 发行版。

微步情报局对部分操作系统进行了验证，UOS、麒麟、openEuler等信创系统，以及Redhat、Ubuntu等非信创系统均受影响，列表见下文。

OneSEC可以关注提权相关告警(规则ID：9030):

二、已人工验证的系统

UOS  受影响版本：1070、1060

统信软件推出的国产商业化Linux桌面/服务器发行版，基于Debian社区版深度定制

1070：

1060：

kylin  受影响版本：V11、V10

天津麒麟开发的国产Linux操作系统，广泛应用于政府与军工领域

V11：

V10：

CUOS   验证版本：4  不受影响

中国联通推出的企业级Linux服务器操作系统，聚焦云与通信场景

openEuler  受影响版本：24.03 (LTS-SP1)

华为开源的国产Linux发行版，聚焦服务器与云计算场景，LTS长期支持版本

CTyunOS  受影响版本：V4.0 25.07

中国电信基于openEuler衍生的服务器操作系统，面向CTyun电信云基础设施

Ubuntu  受影响版本：V22.04  不受影响版本：V17.04

Canonical发行的全球流行Linux桌面/服务器发行版，生态成熟、用户基数大

V22.04：

V17.04：

Redhat  验证版本：7.9不受影响

红帽企业级Linux（RHEL）经典版本，企业服务器市场的主流选择之一

CentOS  验证版本：7不受影响

原社区版企业级Linux，7为Stream前身，现已转型为RHEL的上游预览版

Anolis OS  受影响版本：8.9

阿里云开源的国产Linux发行版，与RHEL生态二进制兼容，专注云与数据中心场景

Oracle Linux  受影响版本：10.0

甲骨文推出的企业级Linux，基于RHEL兼容内核，提供UEK内核与RHCK双启动选项

OpenCloudOS  受影响版本：9.4

腾讯主导开源的国产Linux发行版，源自CentOS Stream，聚焦云原生与服务器场景

NewStartOS  受影响版本：6.06

湖南麒麟研发的国产Linux桌面/服务器操作系统，基于Kylin内核，聚焦政府与教育行业

Debian  受影响版本：13

社区主导的经典自由开源Linux发行版（代号”Trixie”），是Ubuntu/RHEL等众多发行版的上游根基

三、其他版本验证

由于公开的Python PoC的检测准确性依赖于Python版本（Python低版本较低时需要的底层接口可能并未实现），如果想自查所用操作系统是否受影响，建议使用微步提供的通用PoC进行排查。

风险提示：禁止在线上环境进行验证，验证程序可能会损坏系统的su命令内存映像。

curl -fsSL https://onesandbox-release.threatbook.cn/poc/CVE-2026-31431/copyfail -o /tmp/copyfail && chmod +x /tmp/copyfail && /tmp/copyfail && rm -f /tmp/copyfail

四、修复方案

• ### 彻底修——升内核

| 情况 | 命令 / 操作 | | — | — | | 查看当前内核 | uname -r | | Ubuntu / Debian | sudo apt update && sudo apt install linux-image-6.18.22-generic && sudo reboot | | 通用升法 | 去 kernel.org 拉 6.18.22 / 6.19.12 或更高版本 自己编，或者等发行版更新 |

• ### 临时堵——禁用 algif_aead

sudo modprobe -r algif_aeadecho "blacklist algif_aead" | sudo tee /etc/modprobe.d/99-copy-fail.conf

绝大多数系统用不到这个模块，禁掉无副作用。

• ### 容器 / 沙箱应急——拦 AF_ALG

用 seccomp 或容器策略，禁止创建 AF_ALG 套接字（type=38）。

Docker 示例：

{  "defaultAction": "SCMP_ACT_ALLOW",  "syscalls": [{    "names": ["socket"],    "action": "SCMP_ACT_ERRNO",    "args": [{"index": 0, "value": 38, "op": "SCMP_CMP_EQ"}]  }]}

• ### 快速自查

lsmod | grep algif_aead   # 模块在不在lsof | grep AF_ALG         # 有进程在用这个 socket 吗

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：利刃信安 利刃信安 利刃信安《人工验真！Linux提权漏洞，影响这么多信创！（附稳定验证PoC）》