Copy Fail

Copy Fail
CVE-2026-31431
Información general
CVSS 7.8
Identificador CWE 669
Fecha de revelación 29 de abril de 2026
Uso escalada de privilegios
Software afectado núcleo Linux y kmod
Enlaces
[editar datos en Wikidata]

CVE-2026-31431, comúnmente conocida como Copy Fail, es una vulnerabilidad en el kernel de Linux que permite la escalada de privilegios no autorizada,[1][2]​ divulgada por la empresa de seguridad Theori al público el 29 de abril de 2026 y al equipo de seguridad del kernel de Linux cinco semanas antes.[3]​ Este exploit de Python de 10 líneas se integra en la actividad normal del sistema a través de llamadas al sistema estándar; posteriormente fue portado a otros lenguajes.[4]

Características

La vulnerabilidad permite que un usuario sin privilegios utilice la familia de direcciones AF_ALG en la API criptográfica del kernel de Linux para realizar escrituras controladas de 4 bytes en la caché de páginas, que respalda las copias en memoria de los archivos.[5]

Al reemplazar el código en la copia en memoria de un ejecutable legible almacenado en la caché de páginas, un atacante puede escalar privilegios de usuario cuando cualquier proceso privilegiado ejecuta posteriormente esa versión corrupta del archivo. Dado que la mayoría de las utilidades de Linux para cambiar de usuario (por ejemplo, su) se ejecutan con privilegios mediante setuid, la superficie de escalada de privilegios de usuario es amplia.

Software afectado

Todas las distribuciones de Linux que utilizan versiones del kernel de Linux entre 4.14 (2017)[2]​ y 6.19.12 están en riesgo.[6][7]Debian, Ubuntu, SUSE, Red Hat Enterprise Linux y otras distribuciones de Linux se vieron afectadas.[2][8]

Muchas distribuciones y fuentes de seguridad recomendaron mitigar el problema deshabilitando el módulo del kernel algif_aead afectado.[6][8]​ Algunas distribuciones, como Arch Linux, Fedora,[3]​ y Amazon Linux, habían publicado parches en el momento de la divulgación,[9]​ pero la vulnerabilidad fue divulgada por Theori antes de que las distribuciones afectadas que anunciaron como vulnerables hubieran publicado parches.[3]​ A 2026 de abril del 30 SUSE, Red Hat y Ubuntu han publicado guías de mitigación.[3]​ A partir del 5 de mayo, se han añadido reglas de detección de Kaspersky Lab.[4]

Los mecanismos MAC, como SELinux y AppArmor, pueden mitigar la vulnerabilidad, pero solo cuando están configurados de manera que únicamente los servicios legítimamente necesarios tengan acceso a la familia de sockets AF_ALG. En las configuraciones predeterminadas, cualquier proceso sin restricciones o con permisos amplios aún puede abrir sockets AF_ALG, por lo que la protección es prácticamente inexistente y la vulnerabilidad sigue siendo alcanzable.[10]

Según GrapheneOS, Android no se ve afectado debido a su uso de políticas SELinux, donde solo el proceso dumpstate (utilizado para informes de errores) tiene permiso para crear sockets AF_ALG.[11]

Referencias

  1. Knop, Dirk (30 de abril de 2026). «"Copy Fail": Linux root in all major distributions with 732 bytes of Python». heise online (en inglés). Consultado el 30 de abril de 2026. 
  2. a b c Claburn, Thomas (30 de abril de 2026). «Linux cryptographic code flaw offers fast route to root». The Register. 
  3. a b c d Goodin, Dan (30 de abril de 2026). «The most severe Linux threat to surface in years catches the world flat-footed». Ars Technica (en inglés). Consultado el 5 de mayo de 2026. 
  4. a b «Copy Fail: root on virtually any Linux». Securelist (en inglés estadounidense). 30 de abril de 2026. Consultado el 8 de mayo de 2026. 
  5. Toulas, Bill (30 de abril de 2026). «New Linux 'Copy Fail' flaw gives hackers root on major distros». BleepingComputer (en inglés estadounidense). Consultado el 30 de abril de 2026. 
  6. a b «Copy Fail (CVE-2026-31431): Linux Kernel Privilege Escalation FAQ». Tenable (en inglés). 30 de abril de 2026. Consultado el 1 de mayo de 2026. 
  7. «ChangeLog-6.19.12». Linux kernel source. Consultado el 2 de mayo de 2026. 
  8. a b «CVE-2026-31431». access.redhat.com. Red Hat. Consultado el 1 de mayo de 2026. 
  9. Bonifield, Stevie (1 de mayo de 2026). «Severe Linux Copy Fail security flaw uncovered using AI scanning help». The Verge (en inglés estadounidense). Consultado el 5 de mayo de 2026. 
  10. Coker, Russell (4 de mayo de 2026). «Copy Fail on Debian and SE Linux». etbe.coker.com.au. Consultado el 5 de mayo de 2026. 
  11. GrapheneOS (30 de abril de 2026). «GrapheneOS is protected against Copy Fail and similar vulnerabilities by SELinux». discuss.grapheneos.org. Consultado el 30 de abril de 2026. 

Enlaces externos

Content Disclaimer

Informasi ini disarikan dari Wikipedia dan disajikan kembali untuk tujuan edukasi. Konten tersedia di bawah lisensi CC BY-SA 3.0. Kami tidak bertanggung jawab atas ketidakakuratan data yang bersumber dari kontribusi publik tersebut.

  1. The information displayed on this website is sourced in part or in whole from Wikipedia and has been adapted for the purpose of restating it. We strive to provide accurate and relevant information, however:
  2. There is no guarantee of absolute accuracy. Wikipedia is an open, collaborative project that can be edited by anyone, so information is subject to change.
  3. It is not intended to constitute professional advice. The content displayed is for informational and educational purposes only. For important decisions (e.g., medical, legal, or financial), please consult a professional.
  4. Content copyright. Wikipedia is licensed under the Creative Commons Attribution-ShareAlike License (CC BY-SA). This means that content may be reused with appropriate attribution and shared under a similar license.
  5. Responsible use. Any risk arising from the use of information from this website is entirely the responsibility of the user.