Copy Fail: как уязвимость в ядре Linux заставила Debian, Ubuntu и другие дистрибутивы спешить с патчами

Тема всплыла из обсуждения на Reddit в r/technology. Пост о уязвимости «Copy Fail» собрал более четырёх тысяч голосов за сутки, а комментарии разлетелись от шуток до паники. Людям явно не безразлично, когда в их сервере может появиться «корень» за минуту.

Что такое «Copy Fail»

29 апреля 2026 года в открытом доступе появилось CVE‑2026‑31431, получившее прозвище «Copy Fail». Уязвимость живёт в модуле algif_aead, отвечающем за ускоренные криптографические операции. При помощи скрипта в 732 байта любой локальный пользователь может получить права суперпользователя.

В отличие от типичных «remote‑exploit», здесь нужен лишь доступ к оболочке. Поэтому пострадают в первую очередь многопользовательские хосты, контейнерные кластеры и серверы, где несколько процессов работают под разными UID.

Как быстро реагировали дистрибутивы

Патч‑коммит в основной ветке ядра появился 1 апреля, а официальные обновления — 22 апреля. К 29 апреля уже вышли исправления для:

• Debian 13 Trixie и старых выпусков;
• Ubuntu 24.04 (ядро 6.17) – отдельный kmod‑модуль отключает algif_aead;
• AlmaLinux, Fedora, Red Hat Enterprise, SUSE, Arch Linux, CloudLinux и др.

Новейшие версии, такие как Ubuntu 26.04 LTS с ядром 7.0, от уязвимости в стороне.

Что говорят участники обсуждения

«I was just playing around with this today. That script is stupidly easy to run and gain root.» — build319

«Found by Xint Code, the Copy Fail (CVE‑2026‑31431) security vulnerability … has been patched in Debian, Ubuntu, AlmaLinux OS, and other popular distributions.» — rkhunter_

«At less than 800 bytes this is going to be permanently embedded in every single attack chain from here on out…» — DisappointedSpectre

«Waiting and holding my breath for the router and IoT vendors to update their firmware. ☠️» — blow‑down

Почему это важно

Уязвимость демонстрирует, что даже небольшие скрипты могут открыть «заднюю дверь» в системах, где несколько арендаторов делят ядро. Для облачных провайдеров и компаний, использующих контейнеры, это сигнал к усилению слоёв защиты: не только обновлять ядро, но и ограничивать доступ к криптографическим модулям.

Анализ рынка

В России

• Кибер‑центр «Касперский» — сервис мониторинга уязвимостей, но ориентирован в основном на конечные ПК, не покрывает контейнерные кластеры.
• Security Lab — отечественная платформа для сканирования серверов, предоставляет отчёты о CVE, однако нет автоматической интеграции с менеджерами пакетов.
• PatchCheck.ru — небольшое SaaS‑решение, проверяющее актуальность патчей в Debian/Ubuntu, но не умеет отслеживать специфические модули ядра.

За рубежом

• Ubuntu Security Notices (USN) — официальные бюллетени, рассылка по e‑mail, но без API для автоматизации.
• Tenable.io — облачный сканер уязвимостей, умеет обнаруживать CVE‑2026‑31431, однако требует корпоративной подписки.
• Copy.fail — сайт‑одностраничник с описанием уязвимости и готовым эксплойтом, полезен для исследователей, но не для администраторов.
• GitLab CI/CD Security Templates — набор скриптов для автоматической проверки патчей, но требует самостоятельной настройки.

Незакрытая ниша: в России нет сервиса, который бы в реальном времени отслеживал обновления ядра и модулей (algif_aead) в контейнерных кластерах, предоставлял API и отправлял уведомления в мессенджеры.

Читайте также

• Почему сайты теперь спрашивают доступ к локальной сети и что из этого может получиться
• Waymo уехала без luggage: что не так с безопасностью автономных такси
• cPanel на взломе: почему уязвимости в популярном ПО для хостинга так опасны