zenzue/CVE-2026-31431-Checker-Mitigator

# CVE-2026-31431 检测与缓解工具 一个简单、安全的漏洞扫描与缓解工具，用于 **CVE-2026-31431**（又名 "Copy Fail"），这是 Linux 内核 AF_ALG 加密接口中的一个本地提权漏洞。 ### 注意 - 这是一个纯靠氛围写出来的脚本 ## 漏洞简介 - **CVE**：CVE-2026-31431 - **严重程度**：高（本地提权至 root） - **受影响范围**：大多数启用了 `algif_aead` 的 Linux 内核（自 2017 年起） - **利用方式**：滥用 `AF_ALG` + `splice()` 来破坏 setuid 二进制文件（例如 `/usr/bin/su`）的页缓存 ## 功能特性 - ✅ 检测您的系统是否存在潜在漏洞 - ✅ 安全的漏洞扫描（不会对系统造成损害） - ✅ 一键缓解（禁用易受攻击的模块） - ✅ 可选的 PoC 执行（仅在隔离环境中测试使用） - ✅ 易于使用 ## 环境要求 - Python 3.6+ - Linux 系统 - 建议拥有 Root 权限以进行缓解操作 ## 安装 ``` # 克隆或下载 script git clone https://github.com/yourusername/cve-2026-31431-checker.git cd cve-2026-31431-checker # 使其可执行 chmod +x cve-2026-31431-checker.py ``` ## 使用方法 ``` sudo ./cve-2026-31431-checker.py ``` ### 菜单选项 1. **运行 PoC** — 执行完整的漏洞利用（危险 — 仅在虚拟机/测试系统中使用！） 2. **应用缓解措施** — 禁用易受攻击的 `algif_aead` 模块 3. **退出** ## 推荐缓解措施（手动） ``` # 快速缓解（大多数情况下无需重启） echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif.conf sudo rmmod algif_aead 2>/dev/null || true ``` 对于该模块是内置（built-in）的系统，请将以下内容添加到内核命令行中： ``` initcall_blacklist=algif_aead_init ``` ## 最佳修复方案 **更新您的内核** 至包含您所使用的发行版官方补丁的版本。 ## 警告 - 切勿在生产系统上运行 PoC。 - 如果运行失败，PoC 可能会导致文件损坏。 - 仅用于经授权的安全测试。 ## 免责声明 本工具仅用于防御和教育目的。作者对因滥用 PoC 造成的任何损害概不负责。 ### 作者 `w01f` ### 参考 - https://nvd.nist.gov/vuln/detail/CVE-2026-31431 - https://github.com/JuanBindez/CVE-2026-31431/tree/main

标签：AF_ALG, algif_aead, CVE-2026-31431, GitHub Advanced Security, Linux内核安全, PoC, Python, setuid, splice系统调用, Web报告查看器, 内核漏洞, 加密, 协议分析, 子域名枚举, 安全加固, 安全渗透, 无后门, 暴力破解, 本地提权, 权限提升, 漏洞复现, 漏洞扫描器, 漏洞缓解, 系统安全, 逆向工具, 页面缓存损坏