Bezpečnostní tým Xint Code zveřejnil 29. dubna 2026 detaily zranitelnosti CVE-2026–31431, které říkají „Copy Fail". Jde o logickou chybu v modulu algif_aead jaderného crypto API, zavedenou optimalizací v roce 2017. Chyba řetězí modul authencesn, rozhraní AF_ALG a systémové volání splice() do zápisu čtyř bajtů do page cache — a tím pádem do libovolného setuid binárního souboru. Exploit je překvapivě malý: 732 bajtů v Pythonu, bez závislostí, funguje spolehlivě na každé linuxové distribuci od Ubuntu přes RHEL až po Amazon Linux.
Zranitelnost je čistě lokální navýšení práv (LPE), ale protože page cache je sdílena přes kontejnerové hranice, slouží zároveň jako únik z kontejneru — relevantní pro Kubernetes clustery, CI runnery nebo sandboxové prostředí spouštějící nedůvěryhodný kód.
Záplata je mainline commit a664bf3d603d, který vrací algif_aead k out-of-place operaci. Než záplatu nasadíte, lze modul zablokovat příkazem echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf — podle autorů to prakticky nic nerozbije, protože AF_ALG ve výchozí konfiguraci nepoužívá ani OpenSSL, ani GnuTLS, ani SSH. Podrobné informace včetně celého řetězce útoku jsou k dispozici na copy.fail.
ČLÁNKY DO MAILU