Copy Fail (CVE‑2026‑31431): почему 732 байта кода ставят под угрозу весь Linux

Тема всплыла в ветке r/sysadmin на Reddit, где пост о «Copy Fail» собрал несколько тысяч голосов за сутки. Пользователи сразу ощутили, что речь идёт о уязвимости, способной открыть root‑доступ почти на всех Linux‑системах, выпущенных с 2017 года.

Что такое Copy Fail

Copy Fail (CVE‑2026‑31431) — логическая ошибка в подсистеме authenc, использующая цепочку AF_ALG + splice() для записи четырёх байтов в кэш страницы setuid‑бинарника. Ошибка не требует гонки или точного смещения, её можно эксплуатировать простым 732‑байтовым Python‑скриптом. Скрипт работает в Ubuntu, Amazon Linux, RHEL, SUSE и во всех дистрибутивах, чей ядро содержит эту функцию с 2017 года.

Согласно Bugcrowd, уязвимость получила оценку CVSS 7.8 — высокий уровень риска. Патч уже готов в ветке ядра, но большинство дистрибутивов ещё не выпустили обновления.

Голоса из обсуждения

«Am I the only one that thinks the PoC looks suspicious as fuck? A responsible disclosure, even a public one, never uses minified and or compressed code…» — plantbasedlivingroom

«Not saying this isn’t completely horrifying, but I could have really used this as a consultant…» — Big‑Business‑2505

«If the kernel module algif_aead isn’t loaded, this exploit can’t be carried out?» — neo‑raver

«The fix is to remove the offending code and revert to previous behavior. No benefit for the change existed.» — ifq29311

Почему уязвимость важна для всех

Linux‑ядро лежит в основе большинства серверов, облачных платформ и даже настольных машин. Возможность получить root без пароля открывает путь к краже данных, установке бекдоров и полному контролю над инфраструктурой. Кроме того, эксплойт работает в контейнерах, потому что кэш страниц общий для хоста и контейнера.

Анализ рынка

В России

• Кибер‑сканер «Котелок» — сервис сканирования уязвимостей для небольших компаний, ориентирован на CVE‑базу, но не покрывает логические баги ядра.
• SecureOps — платформа управления патчами, хороша для Windows, в Linux‑сегменте пока нет полной поддержки.

За рубежом

• Bugcrowd — платформа баг‑баунти, где исследователи публикуют отчёты о уязвимостях, в том числе о Copy Fail.
• Qualys VMDR — облачный сканер, умеющий находить уязвимости ядра, но требует корпоративных лицензий.
• VulnDB — открытая база данных уязвимостей, предоставляет API, однако не предлагает автоматический мониторинг локальных систем.

Незакрытая ниша: в России отсутствует лёгкий в развертывании SaaS‑сервис, который бы автоматически проверял наличие уязвимости Copy Fail в локальных и облачных инстансах и предлагал готовый скрипт‑патч.

Читайте также

• Вымогатель VECT стирает все файлы больше 128 KB: почему это случилось
• Рынок кибербезопасности: дефицит специалистов и снижение зарплат
• PhantomRPC: уязвимость Windows, позволяющая получить права SYSTEM