文章总结： 天融信阿尔法实验室监测到LinuxKernel存在高危本地权限提升漏洞CVE-2026-31431，攻击者可通过AFALG接口与splice()系统调用组合篡改setuid程序获取root权限。漏洞影响近9年主流Linux发行版包括Ubuntu、RHEL等，建议立即通过升级内核版本或临时禁用algifaead模块进行修复。 综合评分： 85 文章分类： 漏洞预警,应急响应,漏洞分析,Linux安全,云安全

【风险提示】天融信关于Linux Kernel本地权限提升漏洞(CVE-2026-31431)的风险提示

天融信应急响应 天融信应急响应

天融信阿尔法实验室

2026年4月30日 18:12 北京

在小说阅读器读本章

去阅读

0x00 背景介绍

4月30日，天融信阿尔法实验室监测到Linux Kernel修复了一个本地权限提升漏洞（CVE-2026-31431），其被称为Copy Fail。该漏洞利用复杂度较低，且影响过去9年内大多数主流Linux发行版，对云服务器、容器宿主机、多租户环境等构成较高风险。此漏洞的PoC和细节已公开，由于此漏洞影响范围极广，建议受影响用户立即修复该漏洞。

0x01 漏洞描述

Linux内核是一个开源、宏内核但支持动态模块加载的操作系统核心，负责管理硬件资源并为上层软件提供运行环境。它通过进程调度、内存管理、虚拟文件系统、网络协议栈和设备驱动等关键子系统，实现对CPU、内存、磁盘及外设的抽象与调度，并提供稳定、安全和高效的接口供应用程序使用。凭借高可移植性、丰富的驱动支持和强大的社区协作，其已成为从嵌入式设备到超级计算机、从安卓系统到云服务器广泛采用的基础核心。

CVE-2026-31431是Linux Kernel加密子系统中的一个逻辑缺陷漏洞，可导致本地权限提升。经过身份认证的本地低权限攻击者可利用AF_ALG加密接口与splice()系统调用的组合，向任意可读文件的页缓存写入受控的4字节数据，从而篡改setuid程序，无需条件竞争即可直接获得root权限。

漏洞复现（复现环境Ubuntu 22.04.4 LTS）:

0x02 漏洞编号

#

CVE-2026-31431

0x03 漏洞等级

高危

0x04 受影响版本

#

72548b093ee3 <= Linux Kernel commit < a664bf3d603d

已知受影响的发行版：

Ubuntu 22.04 LTS

Ubuntu 24.04 LTS

Ubuntu 26.04 LTS

Amazon Linux 2023

Red Hat Enterprise Linux 10

Red Hat Enterprise Linux 9

Red Hat Enterprise Linux 8

SUSE 16

Kali Linux 2026.1

Debian 13

Linux Mint 22.3

Manjaro 26.0.4

0x05 修复建议

1、临时缓解措施

如果暂时无法升级，可禁用 algif_aead 内核模块：

echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf

rmmod algif_aead 2>/dev/null || true

2、升级修复

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，升级至安全版本。

Linux Kernel 6.18: 升级至 6.18.22 或更高版本

https://git.kernel.org/stable/c/fafe0fa2995a0f7073c1c358d7d3145bcc9aedd8

Linux Kernel 6.19: 升级至 6.19.12 或更高版本

https://git.kernel.org/stable/c/ce42ee423e58dffa5ec03524054c9d8bfd4f6237

Linux Kernel 7.0: 升级至 7.0 (或应用相关补丁)

https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5

旧版本内核：请应用官方 Commit a664bf3d603d (Revert to operating out-of-place)。

针对 Ubuntu、Red Hat Enterprise Linux 等用户，发行版官方暂未全部发布安全更新，请及时关注官方安全公告：

Ubuntu 安全公告：

https://ubuntu.com/security/CVE-2026-31431

Red Hat 安全公告：

https://access.redhat.com/security/cve/cve-2026-31431

Debian 安全公告：

https://security-tracker.debian.org/tracker/CVE-2026-31431

0x06 声明

天融信阿尔法实验室拥有对此公告的修改和解释权，如欲转载，必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果，均由使用者本人负责，天融信阿尔法实验室不为此承担任何责任。

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。

天融信

阿尔法实验室

长按二维码关注我们

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天融信阿尔法实验室 天融信应急响应 天融信应急响应《【风险提示】天融信关于Linux Kernel本地权限提升漏洞(CVE-2026-31431)的风险提示》