📰 正文
严重 Linux 内核漏洞 CopyFail 引爆安全圈
2026 年 4 月 30 日,安全研究公司 Theori 公开了一个代号为 CopyFail(CVE-2026-31431)的 Linux 内核漏洞及其利用代码,该漏洞被安全专家称为"近年来最严重的 Linux 安全威胁"。
该漏洞最早于五周前由 Theori 私下报告给 Linux 内核安全团队。尽管 Linux 内核团队已在多个版本中发布了修复补丁——包括 7.0、6.19.12、6.18.12、6.12.85、6.6.137、6.1.170、5.15.204 和 5.10.254——但绝大多数 Linux 发行版尚未将这些修复纳入其更新包,导致全球数以亿计的服务器和设备仍处于暴露状态。
漏洞原理与攻击路径
CopyFail 的核心问题源于 2017 年引入的 Linux 内核加密 API(AF_ALG)中的一个就地优化缺陷。该缺陷使得页面缓存(page cache)中的页面最终可能出现在可写目标 scatterlist 中,从而导致权限提升。
攻击者只需要一个非特权本地用户账户——无需网络访问权限、无需内核调试功能、无需任何预装的原生利用条件。由于 AF_ALG 加密 API 在几乎所有主流发行版的默认配置中都是启用的,这意味着整个从 2017 年补丁窗口至今的 Linux 系统版本都受到影响。
谁在危险中?
CopyFail 的影响范围极为广泛,几乎涵盖所有使用 Linux 的场景:
- 多租户 Linux 主机:共享开发服务器、Shell 即服务、跳板机、构建服务器等
- Kubernetes/容器集群:页面缓存在宿主机间共享,拥有适当原语的容器可突破租户边界
- CI/CD 系统:GitHub Actions 自托管运行器、GitLab Runner、Jenkins 代理等执行不可信 PR 代码的环境
- AI 与云计算:Notebook 主机、Agent 沙箱、Serverless 函数、任何由租户提供的容器或脚本环境
自动利用工具已经出现
更令人担忧的是,Theori 在演示中展示了该漏洞的自动利用能力。其利用工具已自动扫描并攻破了 Redis、PostgreSQL、MariaDB 等数据库系统,全程无需人工干预。该项目也是美国国防部 DARPA AI 网络安全挑战赛的最后入围作品。
修复建议
安全专家强烈建议所有 Linux 系统管理员立即采取行动:
- 立即更新内核:升级到包含 mainline commit a664bf3d603d 修复的发行版内核包。该修复回滚了 2017 年的 algif_aead 就地优化,阻止页面缓存页面进入可写目标 scatterlist
- 大多数主要发行版已开始推送修复补丁,但仍需手动确认并执行更新
- 多租户环境优先:云服务商和容器集群运营者应将此作为最高优先级处理
此次事件再次凸显了开源供应链安全的重要性。一个存在近十年的内核优化缺陷,一旦被公开利用代码,便可能对全球互联网基础设施造成毁灭性影响。
来源:Ars Technica | CopyFail 官网