Уязвимость в ядре Linux с 2017 года выдает права root обычным пользователям

Исследователи из компании Theori рассказали об обнаруженной ИИ уязвимости в ядре Linux

Эта уязвимость позволяет любому локальному пользователю повысить свои привилегии до root-уровня с помощью Python-скрипта размером всего в 732 байта. Уязвимость, существовавшая в коде ядра с 2017 года, затрагивает практически все современные дистрибутивы Linux, включая Debian, Ubuntu, RHEL, SUSE, Gentoo, Arch, Fedora, ROSA и др.

Уязвимость CVE-2026-31431, получившая название Copy Fail, представляет собой локальное повышение привилегий — класс уязвимостей, позволяющих непривилегированному пользователю получить права администратора. Как пояснили в Theori: «непривилегированный локальный пользователь может записать четыре байта в кэш страниц любого читаемого файла в Linux-системе и использовать это для получения root-доступа».

Проблема возникла из-за пересечения трёх независимых изменений в ядре, внесённых в период с 2011 по 2017 год. В 2017 году была проведена оптимизация, которая привела к некорректной обработке буфера.

Эксплойт представляет собой маленький Python-скрипт размером около 732 байт, использующий интерфейс AF_ALG с системным вызовом splice().

Уязвимость была обнаружена исследователем Тхэян Ли (Taeyang Lee) из компании Theori. Он использовад  ИИ-платформу Xint Code, которая сканировала криптокод Linux течение часа. Это очередной пример успешного применения искусственного интеллекта в поиске уязвимостей: по словам экспертов, если бы эту ошибку искали вручную, на её обнаружение могли уйти годы.

Информация об уязвимости была передана команде безопасности ядра Linux 23 марта 2026 года, а исправления стали доступны уже через неделю. 

Несмотря на то, что Copy Fail требует локального доступа к системе, специалисты характеризуют её как одну из самых серьёзных угроз для Linux за последние годы.

Особую опасность уязвимость представляет для контейнерных сред: по умолчанию Docker, LXC и Kubernetes предоставляют процессам внутри контейнера доступ к подсистеме AF_ALG, что создаёт риск выхода за пределы контейнера и получения контроля над хост-машиной.

Copy Fail часто сравнивают с другой известной уязвимостью — Dirty Pipe (CVE-2022-0847). Однако эксперты отмечают, что новый эксплойт превосходит её по ряду параметров.

«Copy Fail более портативен. Один скрипт, любой дистрибутив. Dirty Pipe требовал ядра ≥ 5.8 с определёнными патчами, а Copy Fail охватывает весь период с 2017 по 2026 год», — подчеркнули в компании Theori.

Исправление было включено в стабильные ветки ядра Linux 1 апреля 2026 года. Патчи доступны для версий  6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 и 5.10.254. Однако по состоянию на начало мая 2026 года большинство дистрибутивов ещё не выпустили обновлённые пакеты с исправлением.

Стоит отметить, что обнаружение атаки затруднено: эксплойт использует исключительно легитимные системные вызовы, которые сложно отличить от нормальной работы приложений. Однако оригинальный Python-эксплойт оставляет определённые артефакты в системе, по которым можно выявить факт компрометации.

Источник: https://www.openwall.com/lists/oss-security/2026/04/29/23

Источник: https://www.opennet.ru/opennews/art.shtml?num=65325