Linux Kernel 本地权限提升漏洞（CVE-2026-31431 / Copy Fail）风险通告

一、漏洞概述

CVE-2026-31431，代号 “Copy Fail”，是一个潜伏在 Linux 内核中近十年的本地权限提升漏洞。该漏洞存在于 Linux 内核加密子系统的 algif_aead 模块中，由 AF_ALG 加密接口、splice() 系统调用以及 2017 年引入的一项代码优化共同导致。

本地低权限攻击者利用该漏洞，可通过一个仅 732 字节的 Python 脚本，向任意可读文件的页缓存中写入受控的 4 字节数据，进而篡改 setuid 程序（如 /usr/bin/su）获得 root 权限。该漏洞利用无需竞争条件，成功率极高[citation:5][citation:7]。

由于 Linux 页缓存在容器边界间共享，该漏洞同样可被用于容器逃逸，对 Kubernetes 等云原生环境构成严重威胁。已监测到在野利用情况[citation:6]。

• CVE 编号：CVE-2026-31431
• 漏洞类型：资源跨安全域转移不当（CWE-669）[citation:1]
• 公开状态：漏洞细节及 PoC 已公开
• CVSS 评分：7.8（高危）[citation:8]

二、影响范围

2.1 受影响版本

该漏洞影响 2017 年引入优化提交（commit 72548b093ee3）后，至修复提交（commit a664bf3d603d）前的所有 Linux 内核版本[citation:6]。

• 受影响内核范围：commit 72548b093ee3 ≤ version < commit a664bf3d603d
• 具体版本：内核版本 4.14 至 6.18.22 之前，以及 6.19.12 之前的 6.19 系列[citation:3]

2.2 受影响发行版

默认启用或可加载 algif_aead 模块的 Linux 系统均受影响，包括但不限于[citation:6]：

2.3 安全版本

更新至以下版本可彻底修复漏洞[citation:3][citation:6]：

• 内核主线 7.0+
• 稳定版 6.18.22+
• 稳定版 6.19.12+

2.4 高风险场景

以下场景应立即排查并优先修复[citation:6]：

• Kubernetes / 容器平台：容器内低权限代码可能逃逸至宿主机获得 root 权限
• 多用户 Linux 主机：任意普通用户可提权至 root
• 自托管 CI Runner（GitHub Actions、GitLab Runner、Jenkins）：恶意 PR 或构建脚本可接管 Runner 节点
• 云端 Notebook / 代码沙箱：租户代码可突破隔离边界
• 堡垒机 / 跳板机：普通账号失陷后可扩大为系统完全控制

三、排查方法

3.1 检查内核版本

bash uname -r

若内核版本介于 4.14 至 6.18.22（不含）、或介于 6.19.0 至 6.19.12（不含），则受影响。

3.2 检查内核模块配置

bash grep CONFIG_CRYPTO_USER_API_AEAD /boot/config-$(uname -r) =y：静态编译进内核，受影响，只能通过升级内核修复

=m：模块方式，若已加载则受影响，可通过禁用模块缓解

=n：不受影响

3.3 检查模块是否已加载

bash lsmod | grep algif 若有输出，说明受影响模块已加载。

3.4 验证模块是否为内置（RHEL系重点检查）

bash modinfo algif_aead | grep filename

若输出 (builtin)，则模块为内置，modprobe方案无效

四、修复方案

4.1 首选方案：更新内核（彻底修复）

升级 Linux 内核至包含修复提交 a664bf3d603d 的安全版本。升级后必须重启系统才能生效。

发行版 操作命令 Debian / Ubuntu sudo apt update && sudo apt full-upgrade && sudo reboot RHEL / Rocky / Alma / Fedora sudo dnf update kernel && sudo reboot Amazon Linux 2023 sudo dnf update kernel && sudo reboot SUSE / openSUSE sudo zypper refresh && sudo zypper patch && sudo reboot

4.2 临时缓解方案（无法立即升级时）

⚠️ 重要警告：以下缓解措施在 algif_aead 模块静态编译进内核的系统中无效（如 RHEL/CentOS/Rocky/AlmaLinux 8/9/10）。此类系统必须使用 4.2.2 节的特殊方案。

4.2.1 模块化内核（Ubuntu/Debian等）

步骤一：禁用并卸载模块

bash echo “install algif_aead /bin/false” | sudo tee /etc/modprobe.d/disable-algif-aead.conf sudo rmmod algif_aead 2>/dev/null || true 步骤二：验证缓解是否生效

bash lsmod | grep algif_aead # 应无任何输出

4.2.2 RHEL系列特殊方案（内置模块）

对于 RHEL/CentOS/Rocky/AlmaLinux 8/9/10，algif_aead 模块内置在内核中，必须使用 grubby 添加内核启动参数黑名单：

# 添加内核启动参数黑名单
sudo grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"
sudo reboot

# 确认生效 - 输出应包含 initcall_blacklist=algif_aead_init
sudo grubby --info=ALL | grep initcall_blacklist

恢复方法（安装补丁内核后）：

bash sudo grubby –update-kernel=ALL –remove-args=”initcall_blacklist=algif_aead_init” sudo reboot

4.3 容器环境加固

对于 Kubernetes、容器平台、CI Runner 等运行不可信代码的环境，可通过 seccomp 阻断容器内 AF_ALG socket 创建（family=38）：

{
  "syscalls": [{
    "names": ["socket"],
    "action": "SCMP_ACT_ERRNO",
    "args": [{"index": 0, "value": 38, "op": "SCMP_CMP_EQ"}]
  }]
}

4.4 缓解措施兼容性说明

禁用 algif_aead 不会影响以下正常功能：

dm-crypt / LUKS 磁盘加密

kTLS、IPsec、SSH

OpenSSL / GnuTLS 默认构建

内核密钥环加密

仅影响显式使用 AF_ALG 引擎的应用程序（如 OpenSSL 的 afalg 引擎，实际使用极少）。

五、参考链接

来源 链接 官方修复补丁 https://git.kernel.org/stable/c/a664bf3d603d CNCERT 安全公告 https://www.secrss.com/articles/89891 Ubuntu 安全公告 https://ubuntu.com/security/CVE-2026-31431 Red Hat CVE 详情 https://access.redhat.com/security/cve/cve-2026-31431 Debian 安全追踪 https://security-tracker.debian.org/tracker/CVE-2026-31431 SUSE 安全公告 https://www.suse.com/security/cve/CVE-2026-31431.html CloudLinux 缓解指南 https://blog.cloudlinux.com/cve-2026-31431-copy-fail-mitigation-and-patches 加拿大网络安全中心 https://www.cyber.gc.ca/en/alerts-advisories/al26-009-vulnerability-affecting-linux-cve-2026-31431

六、时间线

时间 事件 2017年7月 漏洞引入（commit 72548b093ee3） 2026年4月23日 漏洞发现并报告 2026年4月30日 修复补丁合并（commit a664bf3d603d），CVE公开，PoC发布 2026年4月30日 监测到在野利用 2026年5月1日 各发行版开始发布补丁 总结建议：CVE-2026-31431（Copy Fail）是近年来风险极高的本地提权漏洞，利用门槛低、成功率高，且已出现在野利用。多租户主机、容器节点、CI 平台应立即修复，无法立即修复的系统应优先采取临时缓解措施。特别注意：RHEL系列发行版需使用 grubby 方案而非 modprobe。请关注各发行版官方安全公告，及时更新内核。

https://nvd.nist.gov/vuln/detail/CVE-2025-12914

NVD 已公開 aaPanel（BT宝塔面板）CVE-2025-12914 安全漏洞。此漏洞存在於/database?action=GetDatabaseAccess，可被遠端利用進行 SQL 注入攻擊，風險極高。

CVE-2025-12914 漏洞修复说明 一、漏洞概述

外部安全平台披露了与宝塔面板相关的CVE-2025-12914漏洞信息。 该漏洞出现在旧版本的数据库权限查询逻辑中，由于对输入参数校验不足，可能在特定条件下触发 SQL 注入风险。

该漏洞无法被未授权远程用户直接利用，需要满足较高的权限条件后才可能触发。 二、影响范围

面板版本

状态

≤ 11.2.x

受影响

11.3.0 起已修复，不受影响三、漏洞利用条件与风险说明

漏洞仅在攻击者已具备以下权限时可能被利用：

已登录宝塔面板后台（任意管理员账号） 或已获取宝塔面板 API AccessKey（等同后台权限） 在未授权访问的情况下，该漏洞无法触发，因此实际风险有限。

四、修复情况

该问题已在11.3.0中完成修复，包括：

将字符串拼接的 SQL 查询改为参数化查询

增强输入校验与异常处理

完整阻断该类型注入风险

五、修复内容说明（技术细节） 原始代码存在字符串拼接，例如：

users = mysql_obj.query(“select Host from mysql.user where User='”+ name +”‘ AND Host!=’localhost'”)

更新后，已改为参数化写法：

sql =”select Host from mysql.user where User=%s AND Host!=’localhost'”users = mysql_obj.query(sql, param=(name,))

此方式能确保用户输入不会被解释为 SQL 指令，从根源上避免注入。

六、致谢

感谢向我们提交漏洞信息的安全研究人员，对宝塔面板安全改进提供了宝贵帮助。

七、处理建议

建议所有用户升级至11.3.0 或更新版本。 如暂时无法升级，可采取：

限制面板访问来源 IP

启用双因素认证

检查面板 API 与 MySQL 日志