🔐 CVE-2026-31431 (Copy Fail) – Руководство по устранению уязвимости в Ubuntu
Уязвимость CVE-2026-31431 (Copy Fail) в ядре Linux может позволить выполнить локальное повышение привилегий. Эксплуатация возможна через интерфейс algif_aead (AF_ALG AEAD).
В этом руководстве показано, как пошагово устранить уязвимость в Ubuntu 22.04 и 24.04.
🎯 Цель
- Отключить модуль algif_aead
- Прервать цепочку повышения привилегий
- Закрыть уязвимость Qualys QID 387198
- Обеспечить безопасную временную защиту до выхода патча ядра
📌 1. Проверка состояния системы
Сначала проверьте, подвержена ли система уязвимости:
uname -r
echo "----"
grep -E '^CONFIG_CRYPTO_USER_API_AEAD=' /boot/config-$(uname -r) || echo "Строка CONFIG не найдена"
echo "----"
lsmod | grep algif_aead || echo "algif_aead не загружен"
Ожидаемый результат: CONFIG_CRYPTO_USER_API_AEAD=m
📌 2. Создание файла защиты
Запретите загрузку модуля algif_aead:
nano /etc/modprobe.d/disable-algif-aead.conf
Добавьте в файл:
install algif_aead /bin/false
blacklist algif_aead
Сохранить: CTRL + O → Enter → CTRL + X
📌 3. Проверка блокировки модуля
Убедитесь, что модуль не может быть загружен:
modprobe -v algif_aead; echo "exit_code=$?"
Ожидаемый вывод:
install /bin/false
exit_code=1
📌 4. Тест уязвимости AF_ALG
Проверьте, устранена ли уязвимость:
python3 -c "import socket,sys;
try:
s=socket.socket(socket.AF_ALG, socket.SOCK_SEQPACKET, 0);
s.bind(('aead','authencesn(hmac(sha256),cbc(aes))'));
print('VULNERABLE');
sys.exit(1)
except OSError as e:
print('MITIGATED:', e);
sys.exit(0)"
Ожидаемый результат: MITIGATED
📌 5. Обновление initramfs (рекомендуется)
update-initramfs -u
Это гарантирует применение защиты при загрузке системы.
✅ Краткое резюме
| Шаг | Описание | Команда |
|---|---|---|
| 1 | Проверка системы | uname -r |
| 2 | Создание файла защиты | nano /etc/modprobe.d/disable-algif-aead.conf |
| 3 | Проверка блокировки | modprobe -v algif_aead |
| 4 | Тест уязвимости | python3 test |
| 5 | Обновление initramfs | update-initramfs -u |
📝 Заключение
После выполнения этих шагов уязвимость CVE-2026-31431 (Copy Fail) эффективно устранена. Модуль algif_aead заблокирован, а цепочка эксплуатации разорвана.
После выхода официального обновления ядра рекомендуется обновить систему и при необходимости удалить временную защиту.
Arif Akyüz
Bilgi Teknolojileri
Sistem Network Yöneticisi
ve Siber Güvenlik Uzmanı
[email protected]