https://github.com/theori-io/copy-fail-CVE-2026-31431СРОЧНО: ИИ обнаружил нулевую уязвимость ядра Linux, которая рутует каждую дистрибуцию с 2017 года. Эксплойт помещается в 732 байта Python. Обновите ядро как можно скорее.
Уязвимость имеет обозначение CVE-2026-31431, прозвище "Сору Fail", раскрыта сегодня Theori. Она тихо сидела в ядре Linux девять
лет.
Большинство багов эскалации привилегий в Linux капризны. Им нужен точный временной интервал (гонка), или утечка конкретных адресов ядра
откуда-то, или тщательная
настройка под каждую дистрибуцию. "Сору Fail" не нуждается ни в чём из этого. Это ошибка линейной логики, которая работает с первого раза, всегда, на любой mainstream-машине с
Linux.
Нападающему нужен лишь
обычный учётный аккаунт пользователя на машине. Оттуда скрипт просит ядро выполнить некоторую криптографическую работу, злоупотребляет тем, как эта работа подключена, и в итоге записывает 4 байта в область памяти под названием "page cache" (высокоскоростная копия файлов Linux в RAM). Эти 4 байта можно направить на любую программу, которой доверяет система, например /usr/bin/su -
Ярлык для получения рута.
Результат: в следующий раз, когда кто-то запустит эту программу, она пустит нападающего как рута.
То, что должно беспокоить больше всего: повреждение никогда не затрагивает файл на диске. Оно существует только в памяти Linux-копии этого файла. Если вы сделаете образ жёсткого диска потом, файл на диске будет точно соответствовать официальному хэшу пакета. Перезагрузите машину или просто создайте давление на память (любая нормальная нагрузка системы, требующая RAM), и кэшированная копия перезагрузится свежей с диска.
Контейнеры тоже не спасут.
Page cachе общий для всего
хоста, так что процесс внутри контейнера может использовать эту уязвимость, чтобы скомпрометировать базовый сервер и добраться до других арендаторов.
Первородный грех — это "оптимизация на месте" 2017 года в модуле крипто-ядра под названием algif aead. Она должна была сделать шифрование чуть быстрее. Изменение нарушило критическое предположение о безопасности, и никто не заметил девять лет. Этот баг потом ехал на всех обновлениях ядра с 2017 года и до сегодняшнего дня.
Эта уязвимость затрагивает
следующее:
Общие серверы (dev-машины,
jump-хосты, build-серверы):
любой пользователь становится
рутом
Kubernetes и кластеры
контейнеров: один
скомпрометированный под
уходит на хост
CI-раннеры (GitHub Actions, GitLab, Jenkins): вредоносный pull request становится рутом на раннере
Облачные платформы, запускающие пользовательский код (ноутбуки, песочницы агентов, serverless-функции): арендатор становится рутом хоста
Хронология:
23 марта 2026: сообщено команде безопасности ядра Linux
1 апреля: патч закоммичен в mainline (коммит а664bf3d603d)
22 апреля: назначен CVE
29 апреля: публичное
раскрытие
1 апреля: патч закоммичен в
mainline (коммит а664bf3d603d)
22 апреля: назначен CVE
Смягчение: обновите ядро до сборки, включающей mainline-коммит а664bf3d603d. Если не можете патчить сразу, отключите уязвимый модуль:
echo "install algif_aead /bin/ false" > /etc/modprobe.d/ disable-algif.conf rmmod algif_aead 2>/dev/null || true
Для окружений, запускающих недоверенный код (контейнеры, песочницы, CI-раннеры),
полностью заблокируйте доступ к крипто-интерфейсу ядра AF ALG,
даже после патча. Почти ничто
легитимное в нём не нуждается, блокировка закрывает дверь на
весь этот класс багов...
Вариант для распечатки
(ok), 30-Апр-26, 11:12 
