Перейти к содержимому

CVE-2026-31431 — исправление уже доступно в AlmaLinux

02 мая 2026
К вопросу о том, почему я выбираю AlmaLinux для установки RISH на своих серверах.

Уязвимость CVE-2026-31431 (Copy Fail) позволяет локальному пользователю повысить привилегии до root за счёт ошибки в криптоподсистеме ядра Linux (AF_ALG).

На момент публикации обновления для RHEL ещё не были доступны публично, в то время как команда безопасности AlmaLinux оперативно подготовила и выпустила исправление своими силами.

Фикс сначала появился в тестовом канале (об этом сообщалось в официальном блоге AlmaLinux), а уже сегодня ночью был выведен в основной репозиторий и доступен для установки в основном репозитории.

Что нужно сделать?

Вначале нужно обновить ядро:
sudo dnf clean metadata && sudo dnf update 'kernel*'
Затем нужно перезагрузить сервер:
reboot

Важно: без перезагрузки система продолжит работать на старом ядре, даже если новое уже установлено.

Как проверить

После перезагрузки выполните:
uname -r

Эта команда выведет номер версии текущего используемого ядра. Убедитесь, что версия ядра не ниже:

  • AlmaLinux 84.18.0-553.121.1.el8_10
  • AlmaLinux 95.14.0-611.49.2.el9_7
  • AlmaLinux 106.12.0-124.52.2.el10_1

Эти версии указаны в официальном уведомлении безопасности AlmaLinux.

Как читать номер версии ядра

Давайте разберём вывод команды:
uname -r

Команда выведет:

6.12.0-124.52.2.el10_1.x86_64

6.12.0 — версия самого Linux-ядра
124.52.2 — номер сборки и обновлений от дистрибутива (именно здесь приходят фиксы безопасности)
el10_1 — означает, что ядро собрано для AlmaLinux / RHEL 10.1
x86_64 — архитектура системы

Важно: ориентироваться нужно на полную версию ядра, а не только на 6.12.0, так как исправления уязвимостей (CVE) добавляются через обновления сборки, а не обязательно через повышение версии ядра.

Ещё немного о ядрах Linux

В системе обычно установлено несколько версий ядра. Это сделано специально — в случае проблем с обновлением можно загрузиться в предыдущую версию через меню GRUB.

При этом важно понимать: при каждом обновлении системы старые версии ядра не удаляются автоматически. Они накапливаются в системе и со временем могут занимать значительное пространство в разделе /boot.

Посмотреть установленные ядра можно командой: 

rpm -q kernel

Пример вывода: 

kernel-6.12.0-124.49.1.el10_1.x86_64
kernel-6.12.0-124.52.1.el10_1.x86_64
kernel-6.12.0-124.52.2.el10_1.x86_64

Старые ядра можно безопасно удалить. Например, автоматически оставить только две последние версии: 

dnf remove $(dnf repoquery --installonly --latest-limit=-2 -q)

Эта команда удалит все старые ядра, кроме двух последних установленных версий.

Полезная практика — оставлять только два последних ядра: текущее и одно резервное. Именно это и делает данная команда — удаляет все более старые версии, освобождая место в системе.

Vladimir Progreccor
Основатель

Новости проекта