Cảnh báo Mộ Sương: Lỗ hổng “Linux Copy Fail” rất dễ bị khai thác, khuyến nghị nâng cấp kernel càng sớm càng tốt

Theo Giám đốc An ninh Thông tin (CISO) của SlowMist (SlowMist) 23pds đăng trên X vào ngày 30 tháng 4, một lỗ hổng logic mang tên “Copy Fail” (CVE-2026-31431) đã được phát hiện trong hệ thống Linux, có khả năng bị khai thác rất cao; SlowMist khuyến nghị người dùng nhanh chóng nâng cấp nhân (kernel).

Thông tin cơ bản về lỗ hổng và phạm vi bị ảnh hưởng

Theo báo cáo kỹ thuật của nhóm nghiên cứu Xint Code ngày 29 tháng 4, CVE-2026-31431 là lỗ hổng logic trong template xác thực mã hóa AEAD của nhân Linux ở algif_aead.c, khai thác chuỗi gọi hàm thông qua AF_ALG + splice(), cho phép người dùng cục bộ không có đặc quyền ghi điều khiển theo cách xác định 4 byte vào bộ nhớ đệm trang của các tệp hệ thống có thể đọc tùy ý, từ đó giành quyền root bằng cách phá hủy các tệp nhị phân setuid.

Theo báo cáo của Xint Code, đã kiểm thử xác nhận các bản phân phối và phiên bản nhân bị ảnh hưởng bao gồm:

Ubuntu 24.04 LTS：kernel 6.17.0-1007-aws

Amazon Linux 2023：kernel 6.18.8-9.213.amzn2023

RHEL 10.1：kernel 6.12.0-124.45.1.el10_1

SUSE 16：kernel 6.12.0-160000.9-default

Theo báo cáo của Xint Code, nguyên nhân gốc rễ của lỗ hổng nằm ở tối ưu hóa AEAD tại chỗ (in-place) được đưa vào algif_aead.c từ năm 2017 (commit 72548b093ee3). Tối ưu này khiến các trang bộ nhớ đệm đến từ splice() được đưa vào một danh sách rải rác có thể ghi, và cùng với thao tác ghi tạm thời của lớp bọc AEAD authenticsn tạo thành đường khai thác.

Lịch công bố phối hợp và biện pháp vá

Theo lịch trình công bố được Xint Code tiết lộ ngày 29 tháng 4, CVE-2026-31431 được báo cáo cho nhóm bảo mật nhân Linux vào ngày 23 tháng 3 năm 2026. Miếng vá (a664bf3d603d) hoàn tất thẩm định vào ngày 25 tháng 3, được gửi vào nhánh nhân chính vào ngày 1 tháng 4, CVE được cấp chính thức vào ngày 22 tháng 4 và công bố công khai vào ngày 29 tháng 4.

Theo báo cáo của Xint Code, các biện pháp khắc phục bao gồm: cập nhật gói phần mềm kernel của bản phân phối (các bản phổ biến nên phát hành miếng vá thông qua cập nhật kernel thông thường). Nếu cần giảm thiểu ngay lập tức, có thể chặn việc tạo socket AF_ALG bằng seccomp hoặc chạy lệnh sau để đưa module algif_aead vào danh sách đen: echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf.

Theo báo cáo của Xint Code, lỗ hổng này cũng ảnh hưởng đến các tình huống vượt ranh giới container do bộ nhớ đệm trang được chia sẻ giữa máy chủ; các tác động liên quan đến việc thoát container trong Kubernetes sẽ được tiết lộ ở phần hai.

Câu hỏi thường gặp

Phạm vi ảnh hưởng của CVE-2026-31431 là gì?

Theo báo cáo Xint Code ngày 29 tháng 4 và cảnh báo của SlowMist 23pds vào ngày 30 tháng 4, CVE-2026-31431 ảnh hưởng đến hầu như tất cả các bản phân phối Linux phổ biến được phát hành từ năm 2017 trở đi, bao gồm Ubuntu, Amazon Linux, RHEL và SUSE; một script Python 732 byte có thể giành quyền root mà không cần đặc quyền.

Cách giảm thiểu tạm thời cho lỗ hổng này là gì?

Theo báo cáo Xint Code ngày 29 tháng 4, có thể chặn việc tạo socket AF_ALG bằng seccomp, hoặc thực hiện echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf để đưa module algif_aead vào danh sách đen nhằm giảm thiểu ngay lập tức.

Miếng vá cho CVE-2026-31431 khi nào được phát hành?

Theo lịch trình được Xint Code tiết lộ ngày 29 tháng 4, miếng vá (a664bf3d603d) được gửi vào Linux mainline kernel vào ngày 1 tháng 4 năm 2026; các bản phân phối phổ biến nên phát hành miếng vá này thông qua cập nhật gói phần mềm kernel thông thường.