Copy Fail-kwetsbaarheid in Linux maakt lokale gebruiker root

In dit artikel:

Onderzoekers ontdekten met behulp van een AI-tool een ernstige privilege-escalatie in de Linux-kernel, door securitybedrijf Theori gedoopt tot "Copy Fail" (CVE-2026-31431). Door een logische fout in het AF_ALG-cryptografische template kan een lokale, niet-geprivilegieerde gebruiker vier bytes naar de page cache van elk leesbaar bestand schrijven en daaruit root‑rechten verkrijgen. Omdat alleen het in‑geheugen (page cache) wordt aangepast en niet de schijf, is een aanval moeilijk op te sporen.

De kwetsbaarheid zit in vrijwel alle Linux-distributies die sinds 2017 zijn uitgebracht en bedreigt vooral multi‑tenantomgevingen, shared‑kernel containers en CI‑runners die onbetrouwbare code uitvoeren. Hetzelfde exploit‑script werkt op verschillende distributies (o.a. Ubuntu, Amazon Linux, RHEL, SUSE), dus er is geen distro‑specifieke variant nodig. Diverse leveranciers — waaronder Debian, Ubuntu en SUSE — hebben inmiddels patches uitgebracht. Cryptograaf Eric Biggers bekritiseert dat AF_ALG zo’n groot aanvalsoppervlak biedt en stelt dat de gebruikte API nooit als algemene encryptie‑interface aan userspace onthuld had moeten worden. Advies: breng systemen snel up‑to‑date met de door leveranciers verstrekte fixes.