一、漏洞概述

近日，Linux 内核披露本地提权漏洞 CVE-2026-31431（Copy Fail）。

该漏洞源于 Linux 内核加密子系统中的逻辑缺陷。攻击者可通过组合使用 AF_ALG 加密接口 与 splice() 系统调用，向任意可读文件的页缓存写入可控的 4 字节数据，从而篡改 setuid 程序，在无需竞争条件的情况下实现本地提权并获取 root 权限。

该漏洞利用门槛较低，危害等级高。

二、影响范围

根据漏洞引入时间，受影响范围为：

2017 年以来至官方补丁提交（commit a664bf3d603d）之前的 Linux 内核版本

当前受影响的镜像版本（基于平台现有镜像）包括：

• Ubuntu
• 18.04
• 20.04
• 22.04
• 24.04
• Debian
• Debian 11
• Debian 12
• CentOS
• CentOS 8
• Rocky Linux
• Rocky 8
• Rocky 9
• Rocky 10
• openEuler
• openEuler 22.03
• openEuler 24.03

三、风险等级

• 漏洞类型：本地提权
• 利用条件：本地低权限用户
• 攻击复杂度：低
• 危害等级：高

四、官方修复进展

• Linux 内核官方已发布修复补丁：
• 修复提交：commit a664bf3d603d
• 当前各主流发行版（如 Ubuntu、Debian、RHEL 等）：
• 尚未全部发布正式安全更新版本
• 平台侧：
• 已启动漏洞监测与修复规则跟进
• 将在补丁发布后第一时间同步更新镜像

五、缓解措施（临时方案）

⚠ 说明：以下措施不适用于所有发行版（如 CentOS、Rocky、openEuler 等可能因内核静态编译模块无法禁用）

1. 使用情况排查

建议首先排查系统中是否存在使用 AF_ALG 的应用：

lsof | grep AF_ALGss -xa

重点关注：

• 使用 afalg 引擎的 OpenSSL
• 直接使用 aead / skcipher / hash socket 的应用

2. 禁用 algif_aead 模块

在确认无业务依赖后，可通过以下方式阻断漏洞利用路径：

（1）禁用（重启后生效）

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
（2）立即卸载（当前会话生效）

rmmod algif_aead 2>/dev/null || true

⚠ 操作前建议进行快照或数据备份

六、官方参考链接

• Ubuntu 安全公告
• Debian 安全公告
• Red Hat 官方说明