Názory k článku
Copy Fail: devět let stará díra umožňuje získat roota ve všech distribucích

Ono to ... prostě ... funguje ...

Blokace modulu, naštěstí, funguje také

Pozor! Blokovanie modulu alebo nieco podobne na RHEL systemoch nefunguje, pretoze modul maju skompilovany ako builtin. Tym padom ho nie je mozne zablokovat ani zabranit instalacii.

Toto ale funguje aj na RHEL:

grubby --update-kernel=ALL --args="initcall_blac­klist=algif_a­ead_init"
reboot

Musi sa ale rebootnut, pri zakazani modulu stacilo vypnut ten modul, pripadne ho zmazat.

problém není ani tak v tom, jestli to funguje nebo nefunguje, nýbrž v tom, že to tam bylo 9 let, aniž na to někdo přišel. ta proklamovaná výhoda OSS (že to může kontrolovat kdokoli) je do značné míry iluzorní, protože to skoro nikdo fakticky nedělá.
stejně jako dlouhý léta propagovaná údajná bezpečnost MacOSu, která ale měla původ především v tom, že nikomu nestálo za to na MacOS útočit.
a kromě toho je nejslabším místem stejně vždycky člověk.

Nevím co dělám blbě, ale mě to na Debianu nefunguje. U mě na Sidu a ani na starším nezáplatovaném serveru. Objeví se prompt na heslo.

Custom kernel?

Ne. Jak tady někdo postnul přehled Security Trackery, kde by měl být Debian vulnerable, ale ne již up-to-date Sid. Takži Sid jasné. Ale já mám starší server a tam to nejde taky:

zito@jira-scan:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 12 (bookworm)
Release: 12
Codename: bookworm
zito@jira-scan:~$ uname -a
Linux jira-scan 6.1.0-42-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.159-1 (2025-12-30) x86_64 GNU/Linux
zito@jira-scan:~$ ./copy-fail.py
Password:
su: Authentication failure
zito@jira-scan:~$


30. 4. 2026, 13:42 editováno autorem komentáře

Později jsem zkusil Debian 13 a tam to fakt funguje... v Debianu 12 by se ten exploit asi musel trochu upravit.

Ne Gentoo, na vlastnoručně konfigurovaném kernelu mi to taky nefunguje. Zřejmě jsem ten modul nepovolil.

Tak už vím, čím to je. Mám kernel 7.0.1 a ono to je opravené už od sedmičky.

Na RHEL9 a derivátech mi to nefunguje, protože tam je python-3.9 a ten zřejmě nemá os.splice().

Funguje. Staci doinstalovat "yum install python3.12". Resp. ak ho uz niekto ma, tak to pouzije. Ak by nemal roota, tak python nepotrebuje ziadne specialne prava a uzivatel si ho moze stiahnut a rozbalit, nemusi byt nainstalovany ako root.

Ze stejného důvodu jsem si pomohl "uv run copy_fail_exp.py" a funguje.

V RHEL a klonech je modul součástí jádra, viz:

grep CONFIG_CRYPTO_USER_API_AEAD /boot/config-*

Deaktivace je přes již výše v diskuzi zmíněný parametr jádra, tj:

grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"
reboot

Aby se změna projevila, je nutný reboot. Při použití kexec jsou typicky použity původní parametry jádra, nikoliv nové.

Kdybyste chtěli mrknout na CVE trackery s informacemi o vydání oprav u distribucí...

RedHat
https://access.redhat.com/security/cve/cve-2026-31431
SUSE
https://www.suse.com/security/cve/CVE-2026-31431.html
Debian
https://security-tracker.debian.org/tracker/CVE-2026-31431
Ubuntu
https://ubuntu.com/security/CVE-2026-31431

nojo, na aarch64 to udela spatnou binarku

$ ./copy_fail_exp.py
sh: 1: su: Exec format error
$ file /usr/bin/su
/usr/bin/su: setuid ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, no section header

ale je tam pull request s ARM payloadem

To krypto tahali do jadra jen kvuli falesnemu pocitu bezpeci (ze klice neleaknou), kdyz temer zadny procesor nema secure enclave? :D

Ale moc to nedava smysl.. kdyz ty tajna data tomu jadru stejne musite nekdy a nekudy z userspace dodat.

Kvůli akceleraci, ať userspace nemusí řešit jak.

Kdo má poslední verzi debanu trixie s nejnovějším jádrem tak je chyba opravená. :-) Takze muj hw už je v pohodě.

Můj custom kernel vůbec nemá AF_ALG zakompilovanou.

To nepíšu jako plácnutí, že bych se jako chlubil, ale jako upozornění, že "kernel kompilují jen blázni, autisté a uživatelé Gentoo což jsou blázni a autisté, normální člověk to nechá na distribuci" je z pohledu bezpečnosti pěkně hloupý koncept, který pro trochu pohodlí zcela nepřiměřeně zvyšuje attack surface.

Vzpomene si někdo ještě na nedávný RCE na AF_SCTP? Lessons not learned.

Já teda nevěřím, že bych nakompiloval jádro lépe než správci mého distra, minimálně bez značného množství práce navíc.

Právě. Navíc když povypínám, co mi přijde zbytečné, mohu též snížit bezpečnost. Například mohu vypnout ASLR, nebo mohu vypnout něco, co je potřeba k lepšímu sandboxu.

Zkompilovat kernel do nějak funkčního stavu oproti tomu není až taková výzva, ostatně používal jsem Gentoo. Snad jediný nebootovatelný kernel byl, když jsem podporu root FS zkompiloval jako modul.

Tak to s tím ASLR je argument stylu, že když někdo přezouvá doma auto, tak mu může spadnout z heveru, nebo může urvat brzdovou hadičku.

Ten zbytek, ono je to věc priorit. Tvůrce distribucí, pochopitelně, obvykle usiluje o to, aby "to fungovalo na první dobrou", což je pravý opak "nemít tam kód, který se nepoužívá". Jeden pohled je "někdo tam strčil nějaké obskurní zařízení do USB, tak rychle modprobnout driver ať to funguje", něco jiného "někdo tam strčil obskurní zařízení, o něm nevím, takže asi jde o pokus o exploit a budu ho ignorovat, jen to lognu (což dělá kernel standardně)"

nikoliv lépe, ale mnohem specifičtěji. Sníží se tím velikost i vektor útoku. Při automatizované infra to nemusí být takový zásah. Kernel od správců distribuce se snaží být co nejkompatibilnější na různém HW, proto i občas vydávají tenké obrazy jen s drivery pro pro běh jako VM.

Přesně proto si kernel kompilujeme, sníží se tím množství rozhraní, které je možné zneužít a je potřeba je hlídat.

Jako uživatel Gentoo, co vynechává nepotřebné moduly, souhlasím, ale kernel jsem pro jistotu zkompiloval a aktualizoval :) A SSH na verze 10.3 taky.

Ve zpravicce chybi nejdulezitejsi info - chyba byla nalezena s pomoci AI! ;-)

Opensuse ma jiz fixle
https://bugzilla.suse.com/show_bug.cgi?id=CVE-2026-31431#c8