1amBa7Man/Linux-copy-fail-CVE-2026-31431

# CVE-2026-31431 — Copy Fail (Linux 本地权限提升) ## 概述 本仓库提供了 **CVE-2026-31431**（通常被称为 *Copy Fail*）的技术概述和演示，这是一个可实现本地权限提升的 Linux 内核漏洞。 该漏洞影响多种 Linux 发行版，允许非特权用户利用内核页缓存处理中的不一致性来获取 root 权限。 ## 免责声明 本项目仅用于： * 教育目的 * 安全研究 * 符合道德规范且经授权的测试 严禁在未经适当授权的系统上擅自使用此信息。 ## 漏洞摘要 * **CVE ID:** CVE-2026-31431 * **漏洞名称:** Copy Fail * **类型:** 本地权限提升 (LPE) * **严重程度:** 高 * **受影响的系统:** 多种 Linux 发行版，包括 Ubuntu、RHEL、SUSE 和 Amazon Linux ## 技术背景 该漏洞源于 Linux 内核的加密子系统，具体存在于 `authencesn` 算法的处理过程中。 它允许本地用户修改文件在内存中的页缓存表示，且这些文件原本是只读的，同时不会改变磁盘上的实际数据。 ### 核心问题 * 内核修改了内存中的文件表示（页缓存） * 这种修改不会反映到磁盘上 * 文件完整性监控工具无法察觉这种变化 结果就是，一个文件在被检查时可能看起来没有改变，但在内存中执行的却是被篡改的内容。 ## 攻击概述 漏洞利用过程包括： 1. 获取低权限 shell 2. 利用 `AF_ALG` 和 `splice()` 等内核接口 3. 将受控数据注入目标文件的页缓存中 4. 针对特权可执行文件（例如 setuid 二进制文件）进行攻击 5. 执行内存中被篡改的文件版本 6. 实现权限提升 ## 关键概念：页缓存篡改 Linux 利用页缓存将文件数据存储在内存中，以优化性能。 在该漏洞中： * 攻击者篡改了文件的缓存版本 * 磁盘上的原始版本保持不变 * 程序执行时使用的是被篡改的内存版本 这种差异使得攻击能够隐蔽进行，并绕过传统的文件完整性检查。 ## 影响 成功利用该漏洞可能会导致： * 系统被全面攻陷 * 获取未经授权的 root 访问权限 * 绕过完整性监控解决方案 * 在多用户和容器化环境中增加风险 ## 演示 本仓库中包含一段演示视频，展示了： * 漏洞利用的工作流程 * 权限提升过程 * 最终获得的系统访问权限 ## 缓解措施 ### 建议采取的行动 * 将 Linux 内核更新至已修复的版本 * 及时应用官方发布的安全更新 ### 额外的加固措施 * 限制对内核加密接口的访问 * 使用 SELinux 或 AppArmor 强制执行安全策略 * 实施 syscall 过滤（例如 seccomp） * 监控异常的进程行为 ## 与类似漏洞的比较 | 漏洞名称 | 类型 | 特征 | | ------------- | ------------------- | -------------------------- | | Dirty COW | 竞态条件 | 依赖于时序的漏洞利用 | | Dirty Pipe | 管道缓冲区利用 | 内核内存覆写 | | Copy Fail | 逻辑缺陷 | 确定性强且可靠 | ## 仓库结构 ``` . ├── exploit.py ├── demo_video.webm └── README.md ``` ## 参考 * Xint Research: https://xint.io/blog/copy-fail-linux-distributions * The Hacker News: https://thehackernews.com/2026/04/new-linux-copy-fail-vulnerability.html ## 许可证 本项目基于 MIT 许可证发布。

标签：0day挖掘, AF_ALG, Amazon Linux, authencesn算法, Copy Fail, CVE-2026-31431, Linux内核漏洞, LPE, Page Cache完整性, PoC, RHEL, setuid二进制文件, splice系统调用, SUSE, Web报告查看器, 内存文件系统, 内核利用开发, 内核安全, 协议分析, 安全渗透, 密码子系统, 数据展示, 文件完整性监控绕过, 暴力破解, 本地提权, 权限提升, 概念验证, 漏洞分析, 红队, 网络安全, 路径探测, 逆向工具, 隐私保护