严重 Linux 内核漏洞 CopyFail 引爆安全圈

2026 年 4 月 30 日，安全研究公司 Theori 公开了一个代号为 CopyFail（CVE-2026-31431）的 Linux 内核漏洞及其利用代码，该漏洞被安全专家称为"近年来最严重的 Linux 安全威胁"。

该漏洞最早于五周前由 Theori 私下报告给 Linux 内核安全团队。尽管 Linux 内核团队已在多个版本中发布了修复补丁——包括 7.0、6.19.12、6.18.12、6.12.85、6.6.137、6.1.170、5.15.204 和 5.10.254——但绝大多数 Linux 发行版尚未将这些修复纳入其更新包，导致全球数以亿计的服务器和设备仍处于暴露状态。

漏洞原理与攻击路径

CopyFail 的核心问题源于 2017 年引入的 Linux 内核加密 API（AF_ALG）中的一个就地优化缺陷。该缺陷使得页面缓存（page cache）中的页面最终可能出现在可写目标 scatterlist 中，从而导致权限提升。

攻击者只需要一个非特权本地用户账户——无需网络访问权限、无需内核调试功能、无需任何预装的原生利用条件。由于 AF_ALG 加密 API 在几乎所有主流发行版的默认配置中都是启用的，这意味着整个从 2017 年补丁窗口至今的 Linux 系统版本都受到影响。

谁在危险中？

CopyFail 的影响范围极为广泛，几乎涵盖所有使用 Linux 的场景：

• 多租户 Linux 主机：共享开发服务器、Shell 即服务、跳板机、构建服务器等
• Kubernetes/容器集群：页面缓存在宿主机间共享，拥有适当原语的容器可突破租户边界
• CI/CD 系统：GitHub Actions 自托管运行器、GitLab Runner、Jenkins 代理等执行不可信 PR 代码的环境
• AI 与云计算：Notebook 主机、Agent 沙箱、Serverless 函数、任何由租户提供的容器或脚本环境

自动利用工具已经出现

更令人担忧的是，Theori 在演示中展示了该漏洞的自动利用能力。其利用工具已自动扫描并攻破了 Redis、PostgreSQL、MariaDB 等数据库系统，全程无需人工干预。该项目也是美国国防部 DARPA AI 网络安全挑战赛的最后入围作品。

修复建议

安全专家强烈建议所有 Linux 系统管理员立即采取行动：

1. 立即更新内核：升级到包含 mainline commit a664bf3d603d 修复的发行版内核包。该修复回滚了 2017 年的 algif_aead 就地优化，阻止页面缓存页面进入可写目标 scatterlist
2. 大多数主要发行版已开始推送修复补丁，但仍需手动确认并执行更新
3. 多租户环境优先：云服务商和容器集群运营者应将此作为最高优先级处理

此次事件再次凸显了开源供应链安全的重要性。一个存在近十年的内核优化缺陷，一旦被公开利用代码，便可能对全球互联网基础设施造成毁灭性影响。

来源：Ars Technica | CopyFail 官网