# CopyFail (CVE-2026-31431)：近年最严重的 Linux 内核漏洞曝光

**日期：** 2026-05-01
**来源：** Ars Technica

---

一个被命名为 **CopyFail**（CVE-2026-31431）的 Linux 内核本地提权（LPE）漏洞于周三公开了利用代码，被安全专家称为"近年来最严重的 make-me-root 内核漏洞"。该漏洞存在于 Linux 内核的加密 API 中，影响几乎所有主流 Linux 发行版。

## 漏洞原理

CopyFail 是一个"直线式"逻辑缺陷，位于内核加密 API 的 `authencesn` AEAD 模板中（用于 IPsec 扩展序列号）：

- 该模板未按预期复制数据
- 将调用者的目标缓冲区用作临时空间
- 在合法输出区域之外写入 4 字节
- 从未恢复原始数据

与通常的竞态条件或内存损坏漏洞不同，CopyFail 是一个纯逻辑缺陷，**利用代码无需修改即可在所有内核版本和发行版上可靠执行**。正如研究人员的描述："没有竞态窗口，没有内核偏移。"

## 影响范围

已在以下发行版上验证利用成功（单一 Python 脚本）：

- Ubuntu 22.04
- Amazon Linux 2023
- SUSE 15.6
- Debian 12

内核补丁已发布在 7.0、6.19.12、6.18.12、6.12.85、6.6.137、6.1.170、5.15.204、5.10.254 等版本中，但大多数发行版在利用代码公开时尚未集成这些补丁。

## 攻击场景

本地提权意味着：攻击者如果能以任何低权限用户身份在机器上运行代码，就可以将自己提升为 root。从那里可以读取所有文件、安装后门、监控所有进程、并横向移动到其他系统。

现实攻击链举例：WordPress 插件漏洞 → 获取 www-data shell → 运行 CopyFail PoC → 获得 root 权限 → 攻击同主机的其他租户。

研究团队 Theori 已经开发了突破 **Kubernetes 容器** 的利用方式。

## 披露争议

CopyFail 的披露过程备受争议。安全公司 Theori 在私下向 Linux 内核安全团队报告漏洞 5 周后公开了利用代码，但**未通知任何 Linux 发行商**。结果是：

| 发行版 | 发布时修复状态 |
|-------|-------------|
| Arch Linux | ✅ 已修复 |
| RedHat Fedora | ✅ 已修复 |
| SUSE | ⚠️ 仅有缓解建议 |
| RedHat (RHEL) | ⚠️ 仅有缓解建议 |
| Ubuntu | ⚠️ 仅有缓解建议 |

安全分析师 Will Dormann 批评道："他们在公开文章中列出了 4 家受影响厂商，告诉读者去打厂商补丁——但他们根本没检查这些厂商是否真的有补丁。（一家都没有）。"

## 发现过程

该漏洞由 Theori 研究员 Taeyang Lee 发现，使用该公司基于 AI 的安全工具 **Xint Code**，扫描时间仅约 1 小时。这表明 AI 辅助的代码审计正在显著加速漏洞发现。

## 应对建议

所有 Linux 用户应立即检查其系统的补丁状态。建议优先关注 Arch Linux 和 Fedora 用户（已修复），Ubuntu、RHEL、SUSE 用户应密切关注厂商的缓解指南。

---

## 参考链接

- [The most severe Linux threat to surface in years catches the world flat-footed - Ars Technica](https://arstechnica.com/security/2026/04/as-the-most-severe-linux-threat-in-years-surfaces-the-world-scrambles/)