Komoly biztonsági hibára figyelmeztetik a Linux-felhasználókat és rendszergazdákat: a Copy Fail néven emlegetett, CVE-2026-31431 azonosítójú sebezhetőség a kernel kriptográfiai alrendszerét érinti, és helyi jogosultságkiterjesztést tesz lehetővé. Ez magyarul azt jelenti, hogy ha egy támadó már valamilyen módon bejutott a rendszerre egyszerű felhasználóként, akkor a hibát kihasználva root jogosultságot szerezhet. A CERT-EU magas kockázatú sérülékenységként írta le az ügyet, a CVSS-pontszám 7,8, és a hiba a 2017 óta kiadott főbb Linux-vonalakat érinti.
A Copy Fail azért különösen veszélyes, mert nem egy nehezen kihasználható, sok feltételhez kötött hibáról van szó. A Theorihoz köthető Xint Code beszámolója szerint a probléma a Linux authencesn kriptográfiai sablonjában található logikai hibából ered, amely lehetővé teszi, hogy egy jogosulatlan helyi felhasználó négy bájtot írjon a page cache-be egy olvasható fájl esetében. A kutatók szerint egy mindössze 732 bájtos Python proof-of-concept elég lehet ahhoz, hogy egy setuid bináris módosításával a támadó root jogot szerezzen több nagy disztribúción.
A sérülékenység működése technikai, de a következménye nagyon is érthető: a támadó nem feltétlenül a lemezen lévő fájlt írja át, hanem annak memóriában lévő gyorsítótárazott változatát manipulálja. Ez azért alattomos, mert a hagyományos fájlintegritás-ellenőrző megoldások nem biztos, hogy észreveszik a változást, hiszen a módosítás nem feltétlenül jelenik meg klasszikus fájlírásként a háttértáron. A Microsoft biztonsági kutatócsapata szerint a sebezhetőség gyakorlatilag minden olyan Linux-disztribúciót érinthet, amely 2017 óta kiadott, még nem javított kernelverziót futtat, köztük Ubuntut, Amazon Linuxot, RHEL-t, SUSE-t, Debiant, Fedorát és Arch Linuxot is.
Fontos különbség, hogy a Copy Fail önmagában nem távoli betörés. A támadónak előbb valamilyen helyi hozzáférésre van szüksége, például egy feltört webalkalmazáson, sérülékeny plug-inen, konténeren vagy CI/CD-környezeten keresztül. Ettől még a kockázat nagyon komoly, főleg megosztott szervereken, hosztingkörnyezetekben és Kubernetes-klaszterekben, ahol egy alacsony jogosultságú hozzáférésből pillanatok alatt teljes rendszerkompromittálás lehet. A Sysdig elemzése külön kiemeli, hogy a hiba konténeres környezetekben is veszélyes, mert helyi root jogosultsághoz és bizonyos esetekben konténerből való kitöréshez vezethet.
A javítás már elindult, de a helyzetet bonyolítja, hogy a Linux-világban a kernelpatch nem egyszerre jut el minden felhasználóhoz. Az Ubuntu Security Team átmeneti védelemként olyan kmod-frissítést adott ki, amely letiltja az érintett algif_aead modul betöltését, miközben a kernelcsomagok javítása is folyamatban van. A SUSE szintén külön közleményben jelezte, hogy a Copy Fail helyi, nem root felhasználónak adhat teljes root hozzáférést, ezért a javítások telepítése elsődleges feladat.
A gyakorlati teendő most nem bonyolult, de sürgős: a Linuxot futtató gépeken, szervereken és konténerhostokon minél előbb telepíteni kell a disztribúció által kiadott biztonsági frissítéseket, majd újra kell indítani az érintett rendszereket, hogy a javított kernel ténylegesen betöltődjön. Ahol még nincs végleges kernelpatch, ott a gyártói mitigációkat kell alkalmazni, például az érintett modul vagy felület letiltását, de ezt érdemes óvatosan kezelni, mert bizonyos kriptográfiai funkcióknál teljesítmény- vagy kompatibilitási hatása is lehet.
