严重Linux“Copy Fail”漏洞威胁root权限

关键信息

文章称，Copy Fail 利用 AF_ALG socket 接口和 splice() 系统调用，能够覆盖可读文件内核页缓存中的 4 个字节。它被描述为不同于依赖时序的竞争条件漏洞，因为该漏洞更稳定，不需要精确重试；建议的缓解方式是更新内核，必要时禁用 algif_aead 模块。

资讯摘要

ZDNET 表示，Linux 内核漏洞 CVE-2026-31431，也就是“Copy Fail”，是一个自 2017 年以来一直潜伏着的严重缺陷。文章强调，这不是被夸大的安全警报，而是应该认真缓解的真实风险。用通俗的话说，这个漏洞影响的是 Linux 处理某些安全敏感内存数据的方式。只要攻击者已经对系统拥有基础访问权，就可能借助这个漏洞修改 RAM 中的关键数值，让系统误以为攻击者是 root 用户。这样一来，攻击者就可能获得完整的系统控制权。

文章指出，这个漏洞之所以危险，还在于它不依赖脆弱的竞争条件或极其精确的时序。相反，它更像是一条直接、稳定的利用路径。报道还称，Copy Fail 影响 Linux 4.14 到 6.19.12 的内核版本。文章给出的最简单缓解方式是安装最新的内核更新；如果更新后系统仍然表现为受影响，则管理员可以禁用 algif_aead 模块并将其卸载。文章还提到，这一发现来自 Xint Code Research Team，并称研究过程由 AI 辅助完成，同时建立在 Theori 研究员 Taeyang Lee 的一个洞察之上。

资讯正文

Copy Fail 是一个危险的 Linux 漏洞。

这个缺陷让攻击者更容易获取 root 访问权限。

Copy Fail 会影响数百万台 Linux 系统。

CVE-2026-31431，也被称为 Copy Fail，是一个严重的 Linux 内核漏洞，自 2017 年以来一直潜伏至今，如今终于迎来了它应得的安全关注。

不过：这个简单的 Linux 调整会自动修复崩溃，而且对我来说完全零成本。很多时候，Linux 漏洞可能会有些被夸大，但这次不是。Copy Fail 事关重大，应当被视为一个必须加以缓解的问题。

什么是 Copy Fail？

让我们用任何人都能理解的方式来解释 Copy Fail。把你电脑的内存想象成一块黑板，老师会实时记录你的成绩。你不允许学生使用粉笔或橡皮，这样他们就不能改分数。“Copy Fail” 漏洞就像一个狡猾的学生，不知怎么拿到了橡皮和粉笔，然后趁你不注意只改了自己的分数。

本质上，Copy Fail 是 Linux 系统中负责处理某些类型数据安全性的一个缺陷。这个漏洞允许拥有系统基础访问权限的攻击者修改计算机 RAM 中一段关键数据。一旦改动完成，被篡改的数据就能欺骗系统，让系统以为攻击者是 root 用户，从而赋予攻击者对系统的完全控制权。

不过：你应该知道的 6 个理由，为什么最小化安装 Linux 可能是你做出的最聪明决定。换个说法：一个看门人把老板办公室的名牌拿下来，贴到自己壁橱旁边的墙上，这样所有人都会以为他就是老板。Copy Fail 就是这样。

Copy Fail 与曾经影响 Linux 的其他漏洞的一个区别在于，这个漏洞不需要特定时机或某些事件按照精确顺序发生。它容易得多，而且影响可能是毁灭性的。

再详细一点

对于想进一步了解 Copy Fail 的读者：它滥用了 AF_ALG socket 接口和 splice() 系统调用，可以覆盖任何可读文件在内核页缓存中的区区 4 字节。一旦发生这种情况，攻击者就可以修改内存中的 setuid 二进制文件，例如 su 命令，从而获取 root 访问权限。

Copy Fail 与“竞争条件”类利用不同，因为它是一个稳定、直线式的漏洞，不需要依赖时机的反复重试来提升权限。

不过：每个新 Linux 用户都应该先学会的 8 条 Linux 命令。Copy Fail 影响所有 4.14 到 6.19.12 版本的 Linux 内核。你没看错：从 2017 年到现在的内核都会受影响。

根据 Xint Code Research Team 的说法，“这一发现是在 AI 辅助下完成的，但起点来自 Theori 研究员 Taeyang Lee 的一个洞见；他当时正在研究 Linux crypto 子系统如何与基于 page-cache 的数据交互。他使用 Xint Code 将研究扩展到整个 crypto 子系统，而 Copy Fail 是报告中最关键的发现。”

如何避免 Copy Fail

缓解 Copy Fail Linux 漏洞最简单的方法，就是把你的内核更新到最新版本。

要想确认你的内核是否已经修补了 Copy Fail 漏洞，请执行以下命令：dpkg -l kmod grep -qE '^algif_aead ' /proc/modules && echo "Affected module is loaded" || echo "Affected module is NOT loaded"。如果你的内核已经打过补丁，你会看到“Affected module is NOT loaded.”。如果你的内核还没有打补丁，你会看到“Affected module is loaded.”。如果你遇到后者，请务必更新系统并重新运行该命令。如果在更新之后系统仍然没有修补好，你可以使用以下命令禁用 algif_aead 模块：install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf

然后你还可以使用以下命令卸载该模块：rmmod algif_aead。现在，你已经知道足够多关于 Copy Fail 的信息，可以保持受保护状态了。

来源与参考

1. 原始链接
2. This critical Linux vulnerability is putting millions of systems at risk - how to protect yours