Уязвимость в Linux CVE-2026-31431 (Copy Fail): риски и временное решение
29 апреля 2026 года была раскрыта уязвимость в ядре Linux — Copy Fail (CVE-2026-31431). По оценкам исследователей, проблема существует с 2017 года и затрагивает большинство современных дистрибутивов, включая RHEL-based системы (AlmaLinux, Rocky и др.).
Уязвимость обнаружена в криптографической подсистеме ядра — в механизме работы с AEAD-шифрованием через интерфейс AF_ALG (компонент algif_aead).
Уязвимость позволяет обычному пользователю изменить данные в оперативной памяти процесса, имеющего повышенные привилегии.
Технически это происходит так:
используется стандартный интерфейс AF_ALG (криптография через ядро)
задействуется системный вызов splice()
из-за ошибки обработки данных происходит запись за границы буфера
в результате можно изменить содержимое page cache (кэша файлов в памяти)
Что это значит для пользователей RISH?
Чтобы пофиксить в корне уязвимость нужно обновление ядра Linux. Для систем на основе RHEL (Alma Linux и другие) пока обновление ядра не выпущено.
Для эксплуатации уязвимости нужен доступ к серверу. Для пользователей RISH это значит, что если ваши сайты не взломаны – риск минимален. Чтобы эксплуатировать уязвимость – нужно получить доступ к серверу.
Проще говоря, это ситуация, когда злоумышленник через ошибку в сайте, CMS, плагине, форме загрузки файла или другом веб-приложении получает возможность выполнить код на сервере.
Рекомендуемое действие
grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"rebootПроверка
python3 -c 'import socket; s=socket.socket(38,5,0); s.bind(("aead","authencesn(hmac(sha256),cbc(aes))")); print("vulnerable"); s.close()' 2>/dev/null || echo "Not vulnerable / blocked"Ситуация требует внимания, но не повода для паники.
Если сервер используется только вами и настроен стандартно через RISH — риск минимальный.
Мы сообщим дополнительно, когда обновления с исправлением ядра станут доступны.
