[高危] CVE-2026-31431 ( Copy Fail )本地提权漏洞
https://ubuntu.com/security/CVE-2026-31431
一行命令就能从普通用户变成 root ,影响 2017 年至今几乎所有 Linux 发行版( Ubuntu 、Debian 、CentOS 、RHEL 等)
修复方案
执行各发行版 upgrade 命令,应已推送新的 linux-image-*
sudo apt update && sudo apt upgrade
紧急修补策略
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
rmmod algif_aead 2>/dev/null
该漏洞利用门槛低、隐蔽性强(绕过文件完整性校验),建议优先评估并应用补丁。
注:由于 page cache 内核全局共享,该漏洞可用于容器逃逸
https://ubuntu.com/security/CVE-2026-31431
一行命令就能从普通用户变成 root ,影响 2017 年至今几乎所有 Linux 发行版( Ubuntu 、Debian 、CentOS 、RHEL 等)
修复方案
执行各发行版 upgrade 命令,应已推送新的 linux-image-*
sudo apt update && sudo apt upgrade
紧急修补策略
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
rmmod algif_aead 2>/dev/null
该漏洞利用门槛低、隐蔽性强(绕过文件完整性校验),建议优先评估并应用补丁。
注:由于 page cache 内核全局共享,该漏洞可用于容器逃逸
 |
1
seWindows Apr 30
我来补充一下受影响范围:
Red Hat Enterprise ( centos ) 8 Red Hat Enterprise ( centos ) 9 Red Hat Enterprise ( centos ) 10 ubuntu 18.04 LTS ubuntu 20.04 LTS ubuntu 22.04 LTS ubuntu 24.04 LTS ubuntu 25.10 centos7 由于内核太老了,反而没有收到影响 参考: https://access.redhat.com/security/cve/cve-2026-31431 https://ubuntu.com/security/CVE-2026-31431#status linux kernel 对非特权用户暴露了一个 AF_ALG 的加密加速的 aead 接口,达到组合 AF_ALG 与 splice()来系统调用,利用此接口没有严格绑定 src 与 dst ,污染页内存 |
 |
2
vishun Apr 30
ubuntu24 测试`sudo apt update && sudo apt upgrade`后还是会变 root 。
|
|
3
vishun Apr 30
还真是有用,执行楼主的 shell 的命令时提示`-bash: /etc/modprobe.d/disable-algif.conf: Permission denied`,直接先利用漏洞提升成 root ,然后再执行就成功了,然后成功临时堵住了漏洞。
|
 |
4
zenfsharp Apr 30
感谢,已更新
|
 |
5
msg7086 Apr 30
顺便 Debian 似乎还没有更新 - https://tracker.debian.org/pkg/linux-signed-amd64
[2026-03-13] Accepted linux-signed-amd64 5.10.251+1 (source) into oldoldstable-security [2026-03-12] Accepted linux-signed-amd64 6.1.164+1 (source) into oldstable-security [2026-03-12] Accepted linux-signed-amd64 6.12.74+2 (source) into stable-security |
 |
6
bigtan Apr 30
24.04 在阿里云和腾讯云都没有测试成功 是他们自己提前修了么
|
 |
7
willike Apr 30
|
 |
8
ethsol Apr 30
禁了 algif-aead ,对 ssl 加解密是不是有影响?
|
 |
9
villivateur Apr 30
Ubuntu 和 debian 并没有更新,再等等吧
|
 |
10
MiKing233 8h 35m ago
刚准备看这个链接 [https://ubuntu.com/security/CVE-2026-31431](url) 发现怎么都打不开 ubuntu.com `ERR_CONNECTION_CLOSED` 我想着总不能是 Ubuntu 自己官网挂了吧, 结果一搜发现 8 小时之前 reddit 上就有人发帖说 Ubuntu 官网打不开了, 没想到顺路还能吃到这个瓜
https://x.com/VECERTRadar/status/2049934376272810445 |
 |
11
rev1si0n 7h 24m ago
用的 Ubuntu 2204 ,似乎已经自己更新了,POC 无效,看了一下 modeprob.d 里有一个自动生成的 disable conf 。
|
Select Language