日,安全研究团队Xint Code公开披露了Linux内核高危本地提权漏洞 CVE-2026-31431(又称“Copy Fail”漏洞)。该漏洞影响范围广泛,攻击者可在本地低权限环境下直接获取 root 权限。盛邦安全烽火台实验室第一时间跟进分析,并联合公司内部产品线及太行实验室完成全面排查,确认盛邦安全旗下所有产品均不受此漏洞影响。现将漏洞机制、影响范围与安全建议同步如下。
一、Copy Fail漏洞概述
CVE-2026-31431 存在于 Linux 内核的 AF_ALG 子系统中,具体位于 algif_aead.c 模块,是一个典型的逻辑缺陷漏洞。自 2017 年(Linux 内核 4.14)引入相关优化起,几乎所有主流 Linux 发行版均受影响,包括 Ubuntu 24.04 LTS、RHEL 8/9/10、Amazon Linux 2023、SUSE 16 等。
攻击链简要分析:
1、攻击者使用 splice() 系统调用将受保护文件(如 /usr/bin/su)的内容送入 AF_ALG 套接字。
2、内核在处理 AEAD 解密时为优化性能,将源与目标 Scatterlist 设为相同,并直接链接了原始文件的页缓存(Page Cache)。
3、authencesn 算法在向缓冲区末尾写入 4 字节序列号时,因上述逻辑错误,导致这 4 字节直接写入原本为只读的文件缓存页。
4、攻击者借此篡改内存中的可执行文件缓存,注入恶意代码,最终在执行该文件时提权至 root。
该漏洞CVSS 评分 7.8,利用复杂度低,且已有公开 PoC,需要重点关注。
二、盛邦安全自有产品排查结论
该漏洞利用需攻击者上传并执行恶意文件或触发特定系统调用。经排查,我司全系产品基于自主研发的NGRayOS操作系统,仅允许受限的Rayshell环境,从根本上禁止执行任意二进制文件;RayWAF、RayIDP等防护类产品内置安全检测,阻断恶意文件;RayScan、RayBox等检测产品限制文件上传并具备完整性校验;RaySpace、RayGate等网空地图类产品不提供文件上传入口。不受影响的根本原因在于盛邦安全产品在软件架构层面贯彻的最小权限设计与模块级零信任安全模型。从执行环境、文件处理流水线到底层系统接口,均采用默认拒绝、逐层校验的纵深防御原则,使得类似 CVE-2026-31431 所依赖的攻击原语在盛邦安全的软件栈中无法组合生效。
三、安全建议
如果您正在使用受影响的 Linux 发行版,建议尽快采取以下措施:
更新内核升级至已修复版本:Linux 6.18.22、6.19.12、7.0+ 或各发行版官方发布的最新安全内核。
临时缓解若无法立即重启,可执行以下命令卸载相应内核模块以阻断攻击路径:
bashecho "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.confrmmod algif_aead 2>/dev/null
注意:该操作会禁用 AF_ALG 的 AEAD 功能,可能影响部分依赖此接口的用户态加密程序,通用服务器影响较低。
四、结语
作为深耕网络安全领域的企业,盛邦安全始终将产品自身的安全基因放在首位,我们将持续关注该漏洞动态,及时同步相关信息。
