文章总结： CVE-2026-31431是Linux内核加密子系统中的本地权限提升漏洞，自2017年起影响几乎所有主流Linux发行版。该漏洞允许攻击者通过修改内核缓存中的特权二进制文件获取root权限，且利用程序稳定无需竞态条件。目前已发布内核补丁，临时缓解措施包括禁用相关模块或修改启动参数。 综合评分： 85 文章分类： 漏洞分析,威胁情报,应急响应,解决方案,漏洞预警

---

Copy Fail（CVE-2026-31431）：关于 Linux 内核权限提升漏洞的常见问题

会杀毒的单反狗 会杀毒的单反狗

爱拍照的老李

2026年5月1日 08:57 湖北

在小说阅读器读本章

去阅读

导读

Linux 内核自 2017 年起就存在一个漏洞，允许本地用户在几乎所有主流 Linux 发行版上获得 root 权限。目前已有公开的漏洞利用程序，并且据报道该漏洞利用程序运行稳定可靠。

要点

CVE-2026-31431 是 Linux 内核中一个严重级别本地权限提升漏洞，据报道，自 2017 年以来发布的几乎所有主要发行版都受到影响。

已公开可用的漏洞利用程序据称可靠，这与之前备受瞩目的 Linux 内核权限提升漏洞类似。

虽然一些主流发行版尚未发布更新，但已提供打过补丁的内核版本。

背景

Tenable 的研究特别行动 (RSO) 团队编写了这篇博客，以回答有关 CVE-2026-31431 的常见问题 (FAQ)。CVE-2026-31431 是一个 Linux 内核本地权限提升漏洞，被称为“Copy Fail”。

常问问题

Copy Fail 是什么时候首次公开的？

3月23日，Theori公司的研究员Taeyang Lee向Linux内核安全团队报告了该漏洞。该漏洞部分是通过Theori的AI辅助安全扫描工具Xint Code发现的。主线补丁于4月1日提交，CVE编号CVE-2026-31431于4月22日分配，并于4月29日公开披露。

CVE-2026-31431是什么？

CVE-2026-31431是 Linux 内核加密子系统中的一个本地权限提升漏洞。它的 CVSSv3 评分为 7.8。

该漏洞允许本地用户修改内核缓存的内存文件副本，而无需更改磁盘上的文件。攻击者通过攻击特权二进制文件即可获得 root 权限。

由于修改仅存在于页面缓存中，磁盘上的底层文件保持不变。

标准的磁盘取证方法无法检测到这种更改，并且通过重启或资源压力清除内存会导致缓存从原始文件重新加载。

Copy Fail 与 Dirty Cow 和 Dirty Pipe 相比如何？

Copy Fail 漏洞已被拿来与另外两个著名的 Linux 内核提权漏洞进行比较：Dirty Cow ( CVE-2016-5195 ) 和 Dirty Pipe ( CVE-2022-0847 )。这两个漏洞均被列入美国网络安全和基础设施安全局 (CISA) 的已知已利用漏洞 (KEV) 目录中。

Dirty Cow 漏洞利用了竞态条件，这意味着利用该漏洞可能会失败或需要多次尝试。Dirty Pipe 漏洞则对数据的写入方式和修改位置有所限制。

据报道，Copy Fail 漏洞在各种发行版中都能稳定运行，无需依赖竞态条件或写入位置限制。

CVE-2026-31431 的严重程度如何？

任何运行存在漏洞内核的Linux系统上的本地用户都可以利用此漏洞获取 root 权限。该漏洞利用了大多数发行版默认启用的内核功能，无需特殊权限或配置。

风险最高的环境是多个用户或工作负载共享 Linux 内核的环境：例如云系统和多租户系统、容器集群以及运行不受信任代码的 CI/CD 流水线。由于该漏洞利用的目标是内核的共享文件缓存，因此它还可以跨越容器边界。

在单用户系统中，风险较低，因为攻击者本身就需要本地访问权限。

哪些Linux发行版会受到影响？

任何使用 4.14 或更高版本内核的 Linux 发行版均受影响。该漏洞于 2017 年引入，并持续存在了近十年的内核版本。截至 4 月 30 日，各发行版补丁状态如下：

是否有概念验证（PoC）可供参考？

公开的 PoC（概念验证）已与漏洞披露一同发布在 GitHub 上。该漏洞利用程序是一个简短的 Python 脚本，它会修改内存中的一个特权二进制文件，然后执行该文件以获取 root 权限。据报道，该漏洞利用程序无需多次尝试或精确计时即可可靠地工作。

还有其他与Copy Fail 相关的漏洞吗？

据Theori称，发现 Copy Fail 漏洞的同一项研究工作在内核中还发现了其他安全漏洞，其中至少有一个也是权限提升问题。这些发现目前仍在协调披露中。

是否有补丁或缓解措施？

已发布已打补丁的内核版本：

该修复程序移除了 2017 年导致该漏洞的优化，恢复了内核加密接口中读取和写入操作之间更安全的隔离。

对于无法立即进行内核更新的系统，根据内核配置，有两种变通方法可用。

如果模块是动态加载的（CONFIG_CRYPTO_USER_API_AEAD=m）：

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.confrmmod algif_aead 2>/dev/null || true

如果该模块已编译到内核中（CONFIG_CRYPTO_USER_API_AEAD=y），某些企业级内核就是这种情况，则上述方法将无效。oss -security 邮件列表的贡献者报告称，将以下内容添加到内核启动参数并重启可以阻止该漏洞利用：

initcall_blacklist=algif_aead_init

oss-security 邮件列表上的讨论也指出，一些用户空间应用程序使用了受影响的内核接口，包括但不限于 cryptsetup 和 firefox-esr。

实际上，参与讨论的开发者进行的初步测试并未导致这些应用程序出现故障，但影响程度可能因工作负载而异。建议在部署任何临时解决方案之前，先在非生产环境中进行测试。

Linux 内核漏洞的历史性利用

Linux 内核长期以来一直是权限提升攻击的目标。CISA 的 KEV 目录收录了 20 多个 Linux 内核漏洞条目，其中包括两个最常与 Copy Fail 漏洞相比较的漏洞：

截至 4 月 30 日，CVE-2026-31431 未列入CISA的 KEV 目录。

有关Copy Fail 漏洞的详细技术分析：

《Copy Fail: 732 Bytes to Root on Every Major Linux Distribution》

https://xint.io/blog/copy-fail-linux-distributions

新闻链接：

https://www.tenable.com/blog/copy-fail-cve-2026-31431-frequently-asked-questions-about-linux-kernel-privilege-escalation

今日安全资讯速递

APT事件

Advanced Persistent Threat

1. 新型 Python 后门使用隧道服务窃取浏览器和云凭证

网络安全研究人员已经披露了一个名为 DEEP#DOOR 的隐蔽的基于 Python 的后门框架的细节，该框架具备建立持久访问权限并从被入侵主机中收集广泛敏感信息的能力。

🔗https://thehackernews.com/2026/04/new-python-backdoor-uses-tunneling.html

2. 被植入后门的 WordPress 插件滥用远程更新检查器实现代码静默传递

一个长期休眠的后门在“Quick Page/Post Redirect Plugin”插件中被发现，这是一个拥有超过70,000个活跃安装的流行WordPress插件。被篡改的插件，具体为版本5.2.3，包含两个不同的恶意功能。

🔗https://gbhackers.com/backdoored-wordpress-plugin-abuses-remote-update-checker/

3. 银狐使用新的 ABCDoor 后门针对俄罗斯和印度的组织

Silver Fox团伙通过伪装成税务机构，针对俄罗斯和印度的公司分发ValleyRAT和新型ABCDoor后门。

🔗https://securelist.com/silver-fox-tax-notification-campaign/119575/

一般威胁事件

General Threat Incidents

1. SAP npm 供应链攻击针对开发者凭据

对 SAP npm 包的供应链攻击利用预安装脚本窃取开发人员和 CI/CD 凭据。SAP npm 供应链攻击针对开发人员凭据一文首先出现在 Security Planet 上。

🔗https://www.esecurityplanet.com/threats/sap-npm-supply-chain-attack-targets-developer-credentials/

2. PyTorch Lightning 在 PyPI 供应链攻击中被入侵以窃取凭证

在一起软件供应链攻击中，威胁组织成功入侵流行的 Python 包 Lightning，以推送两个恶意版本进行凭据窃取。根据 Aikido Security、Socket 和 StepSecurity 的报告，这两个恶意版本是 2.6.2 和 2.6.3，均于 2026 年 4 月 30 日发布。

🔗https://thehackernews.com/2026/04/pytorch-lightning-compromised-in-pypi.html

3. Qilin勒索软件在被入侵的服务器上枚举 RDP 认证历史记录

Qilin勒索软件组织逐步改进其战术，在被入侵的服务器上枚举远程桌面协议（RDP）认证历史，这使其能够快速而安静地绘制出网络结构。

🔗https://cybersecuritynews.com/qilin-ransomware-enumerates-rdp-authentication/

4. 勒索软件团伙之间爆发争斗，互相泄露对方数据

勒索软件组织 0APT 和 KryBit 之间爆发一场争斗，导致双方的敏感数据被泄露。

🔗https://www.cybermaterial.com/p/feuding-ransomware-groups-leak-each

5. 私密聊天，名人照片在疑似跟踪软件泄露中曝光

一名疑似跟踪软件的设置导致数据库未受保护，曝光了名人和网红的私人聊天记录和照片，泄露了敏感信息和文件。

🔗https://hackread.com/private-chats-photos-celebs-expose-stalkerware-leak/

6. 机器人窃取电子邮件：大多数现代网络钓鱼活动已启用人工智能

KnowBe4表示，它追踪的钓鱼攻击中有86%使用了人工智能，而邮箱只是开始。

🔗https://go.theregister.com/feed/www.theregister.com/2026/04/30/modern_phishing_campaigns_ai/

7. Anthropic 推出Claude Security以应对人工智能驱动的漏洞利用激增

随着 Mythos 标志着近实时攻击的新时代的到来，Anthropic 将 Claude Security 定位为帮助防御者跟上步伐的工具。

🔗https://www.securityweek.com/anthropic-unveils-claude-security-to-counter-ai-powered-exploit-surge/

漏洞事件

Vulnerability Incidents

1. 黑客利用配置错误的服务器泄露34.5万张被盗信用卡信息

由于人工智能编码错误导致重大安全漏洞，与盗刷信用卡市场 Jerry’s Store 连接的一台配置错误的服务器暴露了 345,000 张被盗信用卡信息。

🔗https://hackread.com/misconfigured-server-hackers-leak-stolen-credit-cards/

2. ProFTPD 的 SQL 注入漏洞允许远程代码执行攻击

一个关键的SQL注入漏洞存在于ProFTPD中，这是互联网上最广泛部署的FTP服务器之一。该漏洞被追踪为CVE-2026-42167，其CVSS严重性评分为8.1，并影响mod_sql扩展模块。

🔗https://cybersecuritynews.com/proftpds-sql-injection-vulnerability/

3. 关键 cPanel & WHM 漏洞作为零日漏洞被利用数月

认证绕过漏洞允许攻击者获得对易受攻击服务器的管理员访问权限。postCritical cPanel & WHM 漏洞被用作零日漏洞数月。

🔗https://www.securityweek.com/critical-cpanel-whm-vulnerability-exploited-as-zero-day-for-months/

4. Copy Fail（CVE-2026-31431）：关于 Linux 内核权限提升漏洞的常见问题

Linux 内核自 2017 年起就存在一个漏洞，允许本地用户在几乎所有主流 Linux 发行版上获得 root 权限。目前已有公开的漏洞利用程序，并且据报道该漏洞利用程序运行稳定可靠。

🔗https://www.tenable.com/blog/copy-fail-cve-2026-31431-frequently-asked-questions-about-linux-kernel-privilege-escalation

5. CISA 警告称 ConnectWise ScreenConnect 漏洞在攻击中被利用

美国网络安全和基础设施安全局（CISA）已就ConnectWise ScreenConnect中的严重漏洞发出紧急警告。2026年4月28日，CISA正式将该漏洞（代号为CVE-2024-1708）加入其已知被利用漏洞（KEV）清单。

🔗https://cybersecuritynews.com/connectwise-screenconnect-vulnerability/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 会杀毒的单反狗 会杀毒的单反狗《Copy Fail（CVE-2026-31431）：关于 Linux 内核权限提升漏洞的常见问题》