Linux Kernel 被披露其存在本地权限提升漏洞，漏洞编号CVE-2026-31431，代号 “Copy Fail”。可导致本地低权限攻击者利用 AF_ALG 加密接口与 splice() 系统调用，实现向任意可读文件的页缓存中写入受控的4字节数据，进而通过篡改 setuid 二进制文件获得 root 权限等危害。

漏洞详情

Linux Kernel 是全球最广泛使用的开源操作系统内核，它是 Linux 系统的核心组件，负责管理硬件资源、进程调度、内存管理、文件系统和网络功能等底层任务。

据描述，在 Linux 内核的 authencesn 加密模板与 algif_aead 模块的组合实现中，由于 AF_ALG 套接字的 AEAD 解密路径在 2017 年引入了一个就地（in-place）操作优化（提交 72548b093ee3），将 splice() 传递过来的目标文件页缓存页面直接链入可写的输出散列表（scatterlist）。而 authencesn 算法在实现 IPsec 扩展序列号（ESN）支持时，为了重排认证数据中的序列号字节，会在解密过程中将接收缓冲区偏移 assoclen + cryptlen 位置作为临时存储空间写入 4 字节数据。当 AF_ALG 通过 recvmsg() 触发解密操作时，该写入会跨越接收缓冲区边界，直接覆盖链在后面的页缓存页面，从而实现对任意已打开的可读文件的页缓存进行受控的 4 字节篡改，最终导致本地低权限攻击者可通过篡改系统上任意可读文件（如 /usr/bin/su 等 setuid 程序）的页缓存内容，无需竞争条件或重试即可直接获得 root 权限，且该写入不会触发磁盘脏页回写，可实现持久化提权等危害。

目前该漏洞的漏洞细节、POC已公开。

风险等级

高风险

漏洞风险

本地攻击者利用该漏洞可在无需竞争条件、无需重试的情况下，通过篡改系统上任意可读文件（如 /usr/bin/su 等 setuid 程序）的页缓存内容，直接获得 root 权限，且该写入不会触发磁盘脏页回写，可实现持久化提权等危害。

影响版本

72548b093ee3 <= commit < a664bf3d603d

目前已知受影响操作系统及版本：

Ubuntu 25.10

Ubuntu 24.04 LTS

Ubuntu 22.04 LTS

Ubuntu 20.04 LTS

Ubuntu 18.04 LTS

Amazon Linux 2023

Red Hat Enterprise Linux 10

Red Hat Enterprise Linux 9

Red Hat Enterprise Linux 8

SUSE 16

安全版本

commit >= a664bf3d603d

排查方法

# 检查内核版本

uname -r

# 检查内核配置是否启用（推荐）

grep CONFIG_CRYPTO_USER_API_AEAD /boot/config-$(uname -r)

注：会出现以下三种情况：

CONFIG_CRYPTO_USER_API_AEAD=n    彻底关闭，不受影响，无需处理

CONFIG_CRYPTO_USER_API_AEAD=y    静态编译进内核，Ismod 查不到，但受影响，暂无缓解措施，只能升级内核（例如：RHEL/CentOS/Rocky Linux/AlmaLinux 8, 9, 10 三代产品）

CONFIG_CRYPTO_USER_API_AEAD=m   模块方式，Ismod 可查，加载就有风险，受影响，可通过以下缓解措施缓解

# 检查模块是否已加载受影响模块

lsmod | grep algif

# 检查 AF_ALG socket 是否可创建

python3 -c import socket; socket.socket(38,5,0); print('VULNERABLE')

修复建议

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，升级至安全版本

https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5

2. 针对 Ubuntu、Debian、RHEL/CentOS、SUSE 等用户，官方暂未发布安全更新，请及时关注官方安全公告：

Ubuntu：https://ubuntu.com/security/CVE-2026-31431

Debian：https://security-tracker.debian.org/tracker/CVE-2026-31431

RHEL/CentOS：https://access.redhat.com/security/cve/cve-2026-31431

SUSE：https://www.suse.com/security/cve/CVE-2026-31431.html

3. 缓解措施：

# 禁用内核模块

echo install algif_aead /bin/false > /etc/modprobe.d/disable-algif-aead.conf

# 卸载已加载模块

rmmod algif_aead 2>/dev/null

注：针对静态编译进内核的系统（例如：RHEL/CentOS/Rocky Linux/AlmaLinux 8, 9, 10 三代产品），此缓解措施可能无法生效，建议更新官方内核补丁。

# 验证

python3 -c 'import socket; s=socket.socket(38,5,0); (s.bind((aead, authencesn(hmac(sha256),cbc(aes)))) or print(未缓解)) if s else None' 2>/dev/null || echo 已缓解

4. 容器环境加固

通过 seccomp 禁止 AF_ALG socket 创建（family=38）：

syscalls: [{  names: [socket],  action: SCMP_ACT_ERRNO,  args: [{index: 0, value: 38, op: SCMP_CMP_EQ}]}]

【备注】：建议您在升级前做好数据备份工作，避免出现意外

引用自：https://cloud.tencent.com.cn/announce/detail/2277