Jeśli zarządzasz serwerem lub komputerem z Linuksem wydanym po 2017 roku — aktualizacja jądra systemu jest dziś priorytetem, nie opcją. Luka CVE-2026-31431 o nazwie "Copy Fail" trafiła właśnie na listę aktywnie wykorzystywanych podatności CISA.
Luka pochodzi z logicznego błędu w kryptograficznym module jądra Linuksa — algif_aead. Nieprawidłowa obsługa pamięci podczas operacji "in-place" w podsystemie kryptograficznym pozwala nieuprzywilejowanemu użytkownikowi zapisać 4 kontrolowane bajty do cache strony dowolnego czytelnego pliku w systemie. Jeśli te 4 bajty trafią w odpowiednie miejsce binarnego pliku z bitem setuid, atakujący może zmodyfikować jego zachowanie i uzyskać uprawnienia roota. Windows Central
Co sprawia że ta luka jest wyjątkowo nieprzyjemna: exploit to 732-bajtowy skrypt Python w 10 liniach kodu, który działa deterministycznie — bez wyścigu warunków, bez specyficznych przesunięć pamięci charakterystycznych dla danej dystrybucji. Jeden skrypt, każda dystrybucja wydana od 2017 roku. Dla porównania — popularna luka Dirty Pipe z 2022 roku wymagała konkretnej wersji jądra i specyficznych łat. Copy Fail pokrywa całe dziewięć lat wydań. Windows Central
Luka nie jest zdalnie exploitowalna samodzielnie — atakujący musi już mieć dostęp lokalny lub przez SSH. Ale to właśnie czyni ją szczególnie groźną w środowiskach które są realnymi celami: środowiska wielodostępne, kontenery ze współdzielonym jądrem i klastry Kubernetes — ponieważ page cache jest współdzielony między kontenerami i hostem, luka umożliwia też ucieczkę z kontenera i eskalację na poziomie węzła Kubernetes. Neowin
Błąd został wprowadzony w 2017 roku wraz z optymalizacją "in-place" w jądrze Linuksa 4.14. Odkryli go badacze z Theori przy użyciu narzędzia AI do skanowania kodu — Xint Code — po około godzinie analizy podsystemu kryptograficznego. Łatka upstream pojawiła się 1 kwietnia w wersjach jądra 6.18.22, 6.19.12 i 7.0. Windows Central
Ubuntu, Debian, SUSE, Fedora i Arch Linux wypuściły już aktualizacje jądra. Red Hat początkowo planował odłożyć łatkę, ale zmienił decyzję i dołączył do pozostałych dystrybucji.
Co zrobić teraz? Na Ubuntu i Debian: sudo apt update && sudo apt upgrade i restart systemu. Na Fedorze: sudo dnf upgrade. Na Arch: sudo pacman -Syu. Jeśli natychmiastowa aktualizacja jądra nie jest możliwa — tymczasowym obejściem jest wyłączenie modułu algif_aead: echo "install algif_aead /bin/false" >> /etc/modprobe.d/disable-algif.conf. To zablokuje tworzenie socketów AF_ALG i uniemożliwi exploit, ale może też wpłynąć na aplikacje korzystające z userspace crypto API.
