CVE-2026-31431 "Copy Fail", Xint Code ve Theori araştırmacıları tarafından 29 Nisan 2026'da kamuoyuyla paylaşılan kritik bir Linux kernel yerel ayrıcalık yükseltme (LPE) açığıdır. Ağustos 2017'de
algif_aead modülüne eklenen bir optimizasyon hatasından kaynaklanır ve o tarihten bu yana tüm büyük dağıtımları etkiler.
Teknik Mekanizma: Üç kernel bileşeninin etkileşiminden doğar: (1) authencesn AEAD kriptografik wrapper, (2) AF_ALG soket arayüzü, (3)
splice() sistem çağrısı. Saldırgan bir AF_ALG soketi açar, dosyayı splice ile pipe'a aktarır; kernel bu durumda kaynak sayfayı hem orijinal hem de şifreleme hedefi olarak yanlışlıkla kullanır. Sonuç: sistemdeki
herhangi bir okunabilir dosyanın page cache'ine 4 bayt kontrollü yazma imkânı. Saldırgan bunu
/usr/bin/su gibi setuid binary'nin bellek görüntüsünü bozmak için kullanır — disk üzerindeki dosya değişmez.
Neden benzersiz:
- Yarış koşulu yok, yeniden deneme gerekmez — deterministik ve güvenilir
- 732 bayt Python scripti (yalnızca standart kütüphane) — Ubuntu, Amazon Linux, RHEL, SUSE, Rocky Linux'ta değiştirilmeden çalışır
- Disk üzerinde iz bırakmaz — dosya bütünlüğü kontrolleri (AIDE, Tripwire) hiçbir şey görmez
- Page cache tüm konteynerler arasında paylaşıldığından konteyner kaçış primitifi
- Kubernetes node'u uzlaşma vektörü — tek pod RCE'den host node'a
Geçici Önlem: algif_aead modülünü devre dışı bırakmak (ancak RHEL/CentOS/AlmaLinux'ta modül built-in olduğundan
modprobe.d yöntemi çalışmıyor — seccomp ile AF_ALG soket oluşturmayı engellemek daha etkili). Yamalar Ubuntu, RHEL, AlmaLinux, SUSE için Mayıs 2026 başında yayımlandı.