copy_fail 研究笔记

CVE-2026-31431

[English](README.md) [简体中文](README-zh_CN.md) 此仓库是一个防御性研究工作空间，用于研究 Linux 中编号为 `CVE-2026-31431` 的 `copy_fail` 漏洞。 本仓库的目标是保存分析笔记、记录影响，并支持安全的本地评估。其目的不是提供一键式利用或漏洞利用后工作流程。 ## 仓库结构 - `reports/CVE-2026-31431_Copy_Fail_Report.md` - 英文漏洞报告。 - `code/safe_assessment.py` - 非破坏性本地暴露评估辅助工具。 ## 安全策略 不要在你未拥有或未管理的系统上运行利用代码。对于本地测试，请优先使用隔离的虚拟机或一次性实验主机。`code/safe_assessment.py` 中的辅助工具仅执行只读检查，不会尝试触发内存损坏、覆写文件、派生 shell 或修改系统状态。 copy_fail_exp.py 来源：[theori-io/copy-fail-CVE-2026-31431/copy_fail_exp.py](https://github.com/theori-io/copy-fail-CVE-2026-31431/blob/main/copy_fail_exp.py) ## 快速开始 运行安全评估辅助工具： ``` python3 code/safe_assessment.py ``` 该辅助工具将报告内核元数据、AF_ALG 在当前 Python 运行时中是否可用，以及 `/proc/crypto` 中是否可见可能相关的内核加密算法。 ## 防御性检查清单 1. 清查受影响的 Linux 主机，并记录内核发布版本字符串。 2. 查看供应商关于已修复内核包的安全通告。 3. 优先修补存在不可信本地用户可执行代码的系统。 4. 在修补期间限制 shell 访问和容器逃逸面。 5. 监控来自不可信用户上下文的意外特权进程启动以及 AF_ALG 套接字的可疑使用。 ## 备注 公开的漏洞名称和 CVE 元数据可能会随安全通告的更新而变化。请将此仓库视为一个工作研究产物，并在外部发布前刷新报告。 有用的公开参考资料： - https://copy.fail/ - https://www.microsoft.com/en-us/security/blog/2026/05/01/cve-2026-31431-copy-fail-vulnerability-enables-linux-root-privilege-escalation/ - https://cert.europa.eu/publications/security-advisories/2026-005/ - https://access.redhat.com/security/vulnerabilities/RHSB-2026-002

标签：0day挖掘, AF_ALG, Chaos, copy_fail, CVE-2026-31431, Linux内核漏洞, Python, 内核安全, 反取证, 安全研究笔记, 安全评估, 容器逃逸, 密码算法, 无后门, 本地提权, 漏洞分析, 漏洞利用防范, 漏洞复现, 漏洞报告, 路径探测, 逆向工具, 防御性安全