На этой неделе в ядре Linux нашли серьёзную уязвимость — её назвали «Copy Fail» (официальный номер — CVE-2026-31431). Если коротко: любой обычный пользователь системы может всего одним маленьким скриптом получить полные права администратора (root). Уязвимы практически все дистрибутивы Linux, выпущенные с 2017 года.

Что случилось

Ошибка живёт в криптографической подсистеме ядра — в той её части, которая отвечает за шифрование «на лету». Из-за бага непривилегированный процесс может незаметно подменить четыре байта в любом файле, который система держит в памяти. Этого достаточно, чтобы превратить обычный пользовательский аккаунт в администраторский.

Что делает ситуацию неприятной:

  • Готовый эксплойт умещается в 10 строк Python и весит меньше килобайта.
  • Атака не оставляет следов в файловой системе — изменения только в памяти, антивирусы и системы мониторинга её не видят.
  • В отличие от похожих старых багов (Dirty Cow, Dirty Pipe), здесь не нужно «ловить момент» — эксплойт срабатывает стабильно.
  • Уязвимы Ubuntu, Debian, Fedora, RHEL, Rocky, Arch и почти всё остальное.

Хорошая новость: для атаки нужен локальный доступ. То есть удалённо через интернет так не взломать — нужен уже какой-то аккаунт на машине. Плохая новость: на серверах с несколькими пользователями, в shared-хостингах и на любых машинах, где бывают чужие, риск вполне реален.

Что делать прямо сейчас

Производители дистрибутивов уже работают над патчами — в ближайшие дни они появятся в стандартных репозиториях. Но пока обновления нет, лучше не сидеть сложа руки. Вот временное решение, которое закрывает дыру за пару секунд.

Уязвимость живёт в модуле ядра algif_aead. Если эксплойту не дать к нему доступ — атака не сработает. Самый простой способ — выгрузить модуль и запретить его загрузку:

sudo rmmod algif_aead
echo "install algif_aead /bin/false" | sudo tee -a /etc/modprobe.d/blacklist-algif_aead.conf

Первая команда выгружает модуль из памяти прямо сейчас. Вторая — добавляет запись в чёрный список, чтобы система не подгрузила его обратно после перезагрузки.

Кому стоит беспокоиться сильнее всех

  • Администраторам серверов с несколькими пользователями.
  • Хостинг-провайдерам и владельцам shared-серверов.
  • Тем, у кого крутится Linux на офисных машинах с разными аккаунтами.
  • Владельцам контейнеров и виртуалок, где есть «гости».

Домашнему ноутбуку с одним пользователем угроза тоже есть, но риск ниже — у злоумышленника должна быть возможность как-то запустить код на вашей машине. Тем не менее закрыть уязвимость стоит всем.

Безопасность
← Ко всем новостям