sibersan/cve-2026-31431-checker

# CVE-2026-31431 (Copy Fail) 检测工具 一款用于检测和分析 Linux 内核中 CVE-2026-31431 "Copy Fail" 漏洞的综合工具。 ## ⚠️ 重要免责声明 **本工具仅用于检测。它不会利用或修改任何系统文件。** - 仅读取系统信息和配置文件 - 不会写入 `/etc/passwd`、`/usr/bin/su` 或任何系统二进制文件 - 不会执行实际的漏洞利用尝试 - 请仅在您拥有并已获得测试权限的系统上使用 **本工具可能会产生误报或漏报。** 请始终使用[官方检测工具](https://github.com/sibersan/cve-2026-31431-checker )进行最终验证。 ## 关于 CVE-2026-31431 CVE-2026-31431 "Copy Fail" 是一个严重的 Linux 内核漏洞，由 Theori 的 Taeyang Lee 发现，并由 Xint Code Research 进行分析。它影响了自 2017 年以来的大多数 Linux 发行版，允许无特权的本地用户将权限提升至 root。 **CVSS 评分：** 7.8（高） **受影响版本：** Linux 内核 4.13+（2017 年 8 月）至 2026 年 4 月补丁之前的版本 ## 本工具的功能 1. **系统分析**：收集内核版本、发行版和架构信息 2. **模块状态检查**：验证 `algif_aead` 模块是否已加载并已缓解 3. **AF_ALG 可达性测试**：测试易受攻击的接口是否可访问（非破坏性） 4. **补丁验证**：分析内核构建日期和缓解配置 5. **操作指南**：提供运行官方检测工具的说明 ## 安装与使用 ``` # 下载 git clone https://github.com/sibersan/cve-2026-31431-checker cd cve-2026-31431-checker # 运行（无需 root 权限，但建议使用 sudo 以进行完整检查） python3 cve_2026_31431_checker.py ``` **要求**：Linux 上的 Python 3.6+ ## 示例输出 ``` CVE-2026-31431 (Copy Fail) Detection Tool Version 1.0.0 | 2026-05-01 | Developed by: SiberSAN Detection only — does not write to system files. ══ System Information ══ • Hostname : webserver-01 • Distro : Ubuntu 22.04.5 LTS • Kernel : 5.15.0-119-generic (x86_64) ══ SUMMARY REPORT ══ Target : webserver-01 (Ubuntu 22.04.5 LTS) Kernel : 5.15.0-119-generic Date : 2026-05-01T14:30:00 Tool : v1.0.0 — SiberSAN Result : VULNERABLE / AT RISK - AF_ALG authencesn interface reachable - Uncertain about kernel patch status ``` ## 官方来源与致谢 本工具基于以下研究和指导： - **漏洞研究**：[Theori/Xint Code](https://xint.io/blog/copy-fail-linux-distributions) - **官方检测工具**：[rootsecdev/cve_2026_31431](https://github.com/rootsecdev/cve_2026_31431) - **CERT-EU 公告**：[2026-005](https://cert.europa.eu/publications/security-advisories/2026-005/) - **Ubuntu 安全**：[Copy Fail 公告](https://ubuntu.com/blog/copy-fail-vulnerability-fixes-available) **致谢**：CVE-2026-31431 由 Theori 的 Taeyang Lee 发现，并由 Xint Code Research 团队进行分析。 ## 缓解措施（如果存在漏洞） 如果工具报告 "VULNERABLE"，请立即采取缓解措施： ``` # 禁用易受攻击的模块 echo -e 'blacklist algif_aead\ninstall algif_aead /bin/false' \ | sudo tee /etc/modprobe.d/cve-2026-31431.conf sudo rmmod algif_aead 2>/dev/null # 针对 RHEL/Enterprise 内核（如果模块为 built-in） sudo grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init" sudo reboot ``` 然后将您的内核更新到最新的已修补版本。 ## 最终验证 请始终使用官方检测工具进行最终验证： ``` git clone https://github.com/sibersan/cve-2026-31431-checker cd cve_2026_31431 python3 test_cve_2026_31431.py ``` **退出代码**：0 = 不受影响，2 = 受影响，1 = 测试错误 ## 许可证 MIT 许可证 - 详情请参见 [LICENSE](LICENSE) 文件。 ## 支持 - 查看 [Issues](https://github.com/sibersan/cve-2026-31431-checker/issues) 了解已知问题 - 务必使用官方检测工具验证结果 - 有关漏洞的问题，请参阅[原始研究](https://xint.io/blog/copy-fail-linux-distributions) **由 SiberSAN 开发** | **仅为检测工具 — 非漏洞利用程序**

标签：AF_ALG, algif_aead模块, Copy Fail漏洞, CVE-2026-31431, CVSS 7.8, GraphQL安全矩阵, Linux内核漏洞, Python3, Python安全脚本, Web报告查看器, 协议分析, 子域名枚举, 安全基线, 安全扫描器, 安全渗透, 教学环境, 无线安全, 本地提权, 权限提升, 系统信息收集, 系统安全, 网络安全, 补丁验证, 隐私保护, 高危漏洞