潜伏近10年的Linux内核漏洞曝光！732字节脚本直取root权限：主流发行版全中招

安全研究人员披露了一个潜伏在Linux内核中近10年的高危提权漏洞，编号CVE-2026-31431（代号Copy Fail）。

攻击者仅需一个732字节的Python脚本，即可在Ubuntu、Amazon Linux、RHEL及SUSE等主流Linux发行版上获取root权限。

与大多数需要竞态条件、内核版本精确匹配或预编译载荷的Linux提权漏洞不同，Copy Fail是一个纯粹的直线逻辑缺陷，利用门槛极低。

漏洞根源涉及三个因素的叠加：AF_ALG加密接口、splice()系统调用，以及2017年引入的一项代码优化。

三者结合使攻击者能够将恶意数据写入内核页缓存，进而篡改/usr/bin/su等可信二进制文件。

该漏洞的影响范围覆盖2017年至补丁发布前构建的所有内核版本，研究人员在Linux 6.12、6.17和6.18三个内核版本上进行了测试，四个主流发行版每次均成功获取root shell。

同时由于Linux页缓存在容器边界间共享，受感染的容器或Pod可利用此机制篡改宿主机缓存文件，实现容器逃逸，对云原生环境和多租户架构构成严重威胁。

漏洞的发现过程同样值得关注，研究员Taeyang Lee识别出攻击面后，借助AI辅助审计工具进行扫描，仅耗时约1小时便定位到这一最高严重性漏洞。

修复补丁（提交号a664bf3d603d）已发布，核心措施是回退了2017年的优化代码，暂时无法更新内核的管理员可通过禁用algif_aead内核模块或配置seccomp策略阻止AF_ALG套接字创建来缓解风险。