Linux内核Copy Fail漏洞曝光：十年高危提权漏洞可致容器逃逸

2026年5月1日，安全研究人员公开披露一个存在于Linux内核中长达十年之久的高危权限提升漏洞，编号为CVE-2026-31431，代号“Copy Fail”。

该漏洞可在Ubuntu、Amazon Linux、RHEL及SUSE等主流发行版上被成功利用。攻击者仅需运行一段长度为732字节的Python脚本，即可在目标系统中获得root权限。

与多数依赖竞态条件、特定内核版本或预编译恶意载荷的提权漏洞不同，“Copy Fail”源于纯粹的线性逻辑错误，无需复杂触发条件，利用门槛显著偏低。

漏洞成因是三个技术要素的异常交互：AF_ALG加密套接字接口、splice系统调用，以及2017年引入的一项内核代码优化。三者叠加后，攻击者可将恶意内容写入内核页缓存，并借此篡改如/usr/bin/su等关键可信二进制文件。

该漏洞影响自2017年起至补丁发布前所有基于相关代码路径构建的内核版本。研究人员已在Linux 6.12、6.17和6.18三个版本中完成验证，在上述四大发行版环境中均稳定获取root shell。

值得注意的是，由于Linux页缓存在容器与宿主机之间共享，受感染的容器或Pod可借此机制污染宿主机的页缓存，进而修改其文件系统中的关键组件，实现容器逃逸。这一特性对云原生环境及多租户架构构成实质性安全威胁。

在发现过程中，研究人员Taeyang Lee首先识别出该漏洞的潜在攻击面，随后借助AI辅助代码审计工具，在约一小时内精准定位到该最高严重性缺陷。

官方已发布修复补丁，提交哈希为a664bf3d603d，核心措施为回退2017年引入的相关优化逻辑。对于暂无法升级内核的系统，管理员可通过禁用algif_aead内核模块，或配置seccomp策略以阻止AF_ALG套接字创建，作为临时缓解手段。