多年来最严重的Linux漏洞突袭，各方措手不及

一个几乎影响所有Linux版本、可获取root权限的高危漏洞，其利用代码已被公开发布，此举在安全领域引发了强烈警觉，防御人员正紧急应对数据中心及个人设备面临的严峻威胁。

该漏洞及其利用代码由安全公司Theori的研究人员于周三晚间公开，距离他们向Linux内核安全团队私下披露该漏洞已过去五周。内核团队已在7.0、6.19.12、6.18.12、6.12.85、6.6.137、6.1.170、5.15.204和5.10.254等版本中完成修复，但在利用代码发布时，大多数Linux发行版尚未集成这些补丁。

该严重漏洞被追踪为CVE-2026-31431，命名为CopyFail，属于本地权限提升漏洞类型，允许无权限用户将自身提升为管理员。CopyFail之所以尤为危险，在于攻击者只需使用周三公开的一段利用代码，无需任何修改即可在所有受影响的发行版上成功利用该漏洞。借助此漏洞，攻击者可攻击多租户系统、突破基于Kubernetes或其他框架的容器隔离，以及创建恶意pull request，将利用代码注入CI/CD工作流程。

研究人员Jorijn Schrijvershof周四写道："'本地权限提升'听起来枯燥，但我来解释一下它的实际含义：一个已经能够在目标机器上执行代码的攻击者，哪怕只是最普通的无权限用户，也能将自身提权至root。一旦拥有root权限，便可读取所有文件、安装后门、监视所有进程，并横向渗透至其他系统。"

Schrijvershof还指出，Theori发布的同一个Python脚本可稳定适用于Ubuntu 22.04、Amazon Linux 2023、SUSE 15.6和Debian 12。该研究人员进一步分析道：

"在共享基础设施中，这意味着什么？因为在2026年，'本地'所涵盖的范围极为广泛：共享Kubernetes节点上的每个容器、共享托管服务器上的每个租户、运行不可信pull request代码的每个CI/CD任务、Windows笔记本上的每个WSL2实例、每个被赋予shell访问权限的容器化AI智能体——它们都与邻居共享同一个Linux内核。内核层面的本地权限提升漏洞，将彻底击穿这道隔离边界。"

现实场景中的攻击链可能如下：攻击者利用某个已知的WordPress插件漏洞，以www-data身份获取shell访问权限，随后运行CopyFail的PoC代码，即刻成为宿主机的root用户。此时，该机器上的所有其他租户都暴露在其攻击范围之内。该漏洞本身不负责让攻击者进入系统，但会在攻击者落脚后的短短十秒内彻底改变局势。

该漏洞源于内核加密API中的一处"直线型"逻辑缺陷。许多利用竞态条件和内存损坏缺陷的漏洞利用代码，往往无法稳定适用于不同内核版本或发行版，有时甚至在同一台机器上也会失败。由于CopyFail利用的是逻辑缺陷，Bugcrowd的研究人员表示，"其可靠性不依赖概率，同一脚本可跨发行版通用，无需竞态窗口，也无需内核偏移量。"

CopyFail这一名称的由来，源于内核中authencesn AEAD模板处理流程（用于IPsec扩展序列号）在本应复制数据时实际上并未执行复制操作。Theori指出，该流程"将调用方的目标缓冲区用作临时暂存区，在合法输出区域之外多写入了4个字节，且未做任何还原处理"。这意味着对AAD ESN字节的'复制'操作'失败'，数据溢出了目标缓冲区的边界。

Q&A

Q1：CopyFail漏洞是什么？它有多危险？

A：CopyFail（CVE-2026-31431）是一个影响几乎所有Linux版本的本地权限提升漏洞。攻击者只要能在目标机器上以普通用户身份执行代码，就可利用该漏洞将权限提升至root，进而读取所有文件、安装后门、监视进程并横向攻击其他系统。更危险的是，其公开利用代码无需修改即可适用于Ubuntu、Debian、Amazon Linux等主流发行版，可靠性极高。

Q2：CopyFail漏洞对云环境和容器化部署有什么影响？

A：影响非常严重。在共享Kubernetes节点、多租户托管服务器、CI/CD流水线或WSL2环境中，所有租户和容器共享同一个Linux内核。一旦某个攻击者通过CopyFail提权至root，整个宿主机上的所有租户都将暴露在攻击范围内，容器隔离边界也将被彻底突破。

Q3：目前Linux发行版是否已发布针对CopyFail的修复补丁？

A：Linux内核安全团队已在7.0、6.19.12、6.18.12、6.12.85、6.6.137、6.1.170、5.15.204和5.10.254等版本中完成修复。但在利用代码公开发布时，大多数Linux发行版尚未集成这些补丁，这意味着大量系统在短期内仍处于高风险状态，用户应尽快更新至已修复版本。