Linux 内核潜伏 9 年漏洞披露：732 字节脚本攻破 Ubuntu 等发行版，提权至 root 最高权限

4 月 30 日消息，科技媒体 cyberkendra 昨日（4 月 29 日）发布博文，报道称 Linux 内核爆出高危漏洞 Copy Fail，追踪编号为 CVE-2026-31431，仅需一个 732 字节的 Python 脚本，就能攻破几乎所有主流 Linux 发行版本，提权至最高的 root 权限。

援引博文介绍，大多数 Linux 提权漏洞需要满足于竞态条件、内核版本匹配、以及编译好的有效载荷等，而本次曝光的 Copy Fail 漏洞完全消除了这些条件，是一个简单的直线逻辑缺陷。

该漏洞的根源涉及 AF_ALG 加密接口、splice () 系统调用以及 2017 年引入的一项代码优化。这三者结合导致攻击者能将恶意数据写入内核页缓存，进而篡改 / usr / bin / su 等可信二进制文件。相较于历史上的 Dirty Cow 或 Dirty Pipe，此漏洞利用更稳定、更简单，成功率极高。

漏洞影响范围极广，涵盖 2017 年至补丁发布前构建的内核版本。特别值得注意的是，由于 Linux 页缓存在容器边界间共享，受感染的容器或 Pod 可利用此机制篡改宿主机缓存文件，从而实现容器逃逸。攻击者可能利用这一特性，威胁云原生环境及多租户架构。

研究人员利用该漏洞编写了一个 732 字节的 Python 脚本，在 Ubuntu、Amazon Linux、RHEL 及 SUSE 四个主流 Linux 发行版上，测试发现 Linux 6.12、6.17 和 6.18 均存在问题，每次都成功获取了 root shell。

发现过程结合了人类洞察与 AI 工具。研究员 Taeyang Lee 识别出攻击面后，利用 AI 辅助审计工具 Xint Code 扫描 crypto / 子系统，仅耗时约 1 小时便定位到这一最高严重性漏洞。

针对该漏洞的修复补丁（提交号 a664bf3d603d）已发布，主要回退了 2017 年的优化代码。若无法立即更新，管理员可通过禁用 algif_aead 内核模块或配置 seccomp 策略阻止 AF_ALG 套接字创建来缓解风险。