Copy Fail в Linux: критическая уязвимость дает root и побег из контейнера
CVE-2026-31431, получившая название Copy Fail, стала одной из наиболее опасных уязвимостей логики в ядре Linux последних лет. Проблема затрагивает шаблон аутентификационного шифрования ядра и позволяет не привилегированному локальному пользователю выполнять контролируемую запись 4 байт в page cache любого доступного для чтения файла.
Уязвимость была раскрыта Xint Code и, по данным отчета, применима ко всем основным дистрибутивам Linux, включая Ubuntu, Amazon Linux, RHEL и SUSE. Особую обеспокоенность вызывает то, что эксплуатация возможна с помощью простого 732-byte Python script, использующего стандартные библиотечные модули. Это делает атаку одновременно простой, портируемой и опасной для широкого круга систем.
В чем суть проблемы
Корень Copy Fail связан с обработкой cryptographic operations и управлением page cache в Linux kernel. Эксплойт использует интерфейс AF_ALG, который широко применяется для cryptography, чтобы выполнить детерминированную запись без условий гонки и без зависимости от узких временных окон.
Именно этот механизм отличает CVE-2026-31431 от таких известных уязвимостей повышения привилегий, как Dirty Cow и Dirty Pipe. В отличие от них, новая проблема не требует столь сложных условий эксплуатации и не привязана к конкретным версиям в той же степени.
Как работает эксплуатация
Атака нацелена на page cache бинарного файла с правами setuid, в частности на /usr/bin/su. Этот файл присутствует в основных дистрибутивах Linux начиная с 2017 года, что делает вектор атаки особенно практичным.
Сценарий эксплуатации включает последовательную отправку полезной нагрузки через функции sendmsg() и splice(). Параметры подбираются таким образом, чтобы обеспечить внедрение полезной нагрузки в системные binary files. После успешного изменения содержимого запуск модифицированного бинарного файла предоставляет злоумышленнику root-доступ.
- контролируемая запись 4 байт в page cache;
- использование интерфейса AF_ALG;
- цель атаки —
/usr/bin/su; - эксплуатация возможна через
sendmsg()иsplice(); - результат — получение root-доступа.
Риски для контейнеров и Kubernetes
Последствия уязвимости выходят далеко за рамки локального privilege escalation. Поскольку page cache имеет общую природу, атака может быть использована для потенциального container escape, что особенно опасно в средах Kubernetes.
Это делает Copy Fail значительным риском для многопользовательских cloud infrastructure, где компрометация одного container способна привести к более широкому доступу к системе.
Реакция и сроки раскрытия
Согласно отчету, уязвимость была передана команде безопасности Linux kernel в марте 2026 года и оперативно подтверждена. Исправления были предложены и вскоре включены в mainline kernel, что позволило быстро снизить потенциальный ущерб.
Публичное раскрытие информации состоялось 29 апреля 2026 года после согласования эффективного графика remediation.
Простота эксплуатации и переносимость делают Copy Fail особенно опасной для широкого круга Linux-систем.
Почему это важно
CVE-2026-31431 демонстрирует, что даже сравнительно небольшой по объему exploit может представлять критическую угрозу, если он затрагивает фундаментальные механизмы Linux kernel. В сочетании с возможностью privilege escalation и потенциального container escape эта уязвимость требует повышенного внимания со стороны администраторов, операторов Kubernetes и команд, отвечающих за защиту cloud environment.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
