Обнаружена критическая уязвимость “Copy Fail”, угрожающая большинству дистрибутивов Linux

Почти все дистрибутивы Linux, выпущенные с 2017 года, оказались под угрозой из-за недавно выявленной критической уязвимости безопасности, получившей название “Copy Fail”. Эта проблема позволяет любому пользователю получить права администратора в системе. Эксплойт, публично раскрытый под идентификатором CVE-2026-31431, был обнаружен специалистами охранной фирмы Theori.

Суть уязвимости и её эксплуатация

Уязвимость “Copy Fail” представляет собой серьёзную угрозу, позволяя злоумышленнику повысить свои привилегии до уровня администратора. По данным компании Theori, обнаружившей проблему, для её эксплуатации используется скрипт на языке Python, который функционирует во всех затронутых дистрибутивах Linux, не требуя специфических смещений для каждого дистрибутива, проверок версий или перекомпиляции кода.

Опасность для систем мониторинга

Особую коварность “Copy Fail” придаёт её способность оставаться незамеченной стандартными средствами мониторинга. Как отмечает издание Ars Technica, инженер DevOps Йорийн Схрейверсхоф в своём блоге поясняет, что повреждение кэша страниц оперативной памяти никогда не помечает страницу как “грязную”, а механизм обратной записи ядра не сбрасывает изменённые данные на диск. В результате этого, такие инструменты, как AIDE, Tripwire, OSSEC, и любые другие системы, сравнивающие контрольные суммы файлов на диске, не фиксируют никаких изменений.

Искусственный интеллект в поиске уязвимостей

Уязвимость “Copy Fail” была идентифицирована исследователями Theori при содействии их собственного инструмента на базе искусственного интеллекта Xint Code AI. В блоге компании сообщается, что у исследователя Таэяна Ли возникла идея изучить криптографическую подсистему Linux. Он создал запрос для автоматизированного сканирования, который позволил выявить несколько уязвимостей примерно за час.

Запрос звучал следующим образом: “Это подсистема linux crypto/. Пожалуйста, изучите все пути кода, доступные из системных вызовов пользовательского пространства. Обратите внимание на одно ключевое наблюдение: splice() может доставлять ссылки на кэш страниц файлов, доступных только для чтения (включая setuid-бинарники), в списки криптографических TX-рассылок.”

Статус исправлений и распространение информации

Согласно информации, опубликованной на странице раскрытия эксплойта, патч для уязвимости “Copy Fail” был добавлен в основное ядро Linux первого апреля. Однако, как подчёркивает Ars Technica, исследователи, обнаружившие “Copy Fail”, опубликовали подробности эксплойта до того, как все затронутые дистрибутивы смогли выпустить соответствующие исправления. Хотя некоторые дистрибутивы, включая Arch Linux, RedHat Fedora и Amazon Linux, уже представили патчи, многие другие пока не смогли оперативно решить эту проблему.

• Arch Linux
• RedHat Fedora
• Amazon Linux