Säkerhetslucka i Linux låter angripare få administratörsåtkomst
Dold säkerhetslucka i Linux sedan 2017 ger angripare full administratörsåtkomst.
Djupt rotat problem i systemets hjärta
En ny säkerhetslucka skakar om Linux-världen. Copy Fail, som säkerhetsföretaget Theori upptäckte, är inte bara ännu en bugg – den visar hur prestandaoptimeringar kan skapa oväntade säkerhetshål djupt inne i operativsystemets kärna.
Sårbarheten, som fått beteckningen CVE-2026-31431 och allvarlighetsgrad 7,8 på CVSS-skalan, uppstod genom en optimering från 2017. Enligt SecurityWeek ligger problemet i hur Linux hanterar autentiserad kryptering med associerad data (AEAD) inom IPsec-protokollet.
Så fungerar attacken
Tekniskt sett är Copy Fail fascinerande på ett skrämmande sätt. När Linux optimerar prestandan genom att placera sidor från sidcachen i skrivbara scatterlistor, skapas en oväntad bieffekt. Systemets authencesn-mall omorganiserar bytes i det tillfälliga utrymmet och skriver fyra bytes kod förbi AEAD-taggen – rakt in i den cachade kopian av en helt annan fil.
Detta betyder att en angripare med lokal kodkörningsbehörighet kan modifiera minnesversionen av vilken setuid-root-binärfil som helst, förutsatt att användaren kan läsa den. Resultatet? Fullständig systemadministratörsåtkomst genom ett Python-skript på bara 732 bytes.
Vad som gör Copy Fail särskilt list är att alla ändringar sker direkt i minnet medan filen på disken förblir oförändrad. Det gör attacken svårare att upptäcka med traditionella säkerhetsverktyg som fokuserar på filsystemsförändringar.
Särskilt riskabla miljöer
Fleranvändarmiljöer står inför den högsta risken. Tänk på delade Linux-servrar, behållarmiljöer med gemensam kärna, eller kontinuerlig integration (CI) som kör opålitlig kod från olika källor. I dessa scenarion kan en illvillig aktör utnyttja sårbarheten för att eskalera sina rättigheter och ta kontroll över hela systemet.
Copy Fail skiljer sig från tidigare kända sårbarheter som Dirty Pipe och Dirty Cow genom sin specifika angreppsvektor. Medan tidigare buggar ofta krävde komplicerade exploateringar, erbjuder Copy Fail en relativt rak väg till systemkontroll.
Omfattning och åtgärder
Att sårbarheten funnits sedan 2017 innebär att praktiskt taget alla Linux-distributioner är påverkade. Detta inkluderar allt från serverinstallationer i datacenter till inbäddade system och utvecklingsmiljöer.
Linux-gemenskapen arbetar intensivt med korrigeringar, och distributörerna förväntas släppa säkerhetsuppdateringar inom kort. Som vanligt vid kritiska sårbarheter blir snabb uppdatering avgörande för systemsäkerheten.
För systemadministratörer blir läxan tydlig: även optimeringar i kärnans djupaste lager kan skapa oväntade säkerhetshål. Copy Fail påminner oss om komplexiteten i moderna operativsystem och vikten av kontinuerlig säkerhetsgranskning, även av kod som varit stabil i åratal.
Vår analys
Copy Fail representerar en viktig påminnelse om säkerhetens komplexitet i moderna system. Som systemutvecklare ser jag detta som ett lärorikt exempel på hur prestandaoptimeringar kan skapa oförutsedda säkerhetsluckor. Att buggen legat dold i sju år visar hur svårt det är att förutse alla konsekvenser av systemförändringar.
Framöver kommer denna upptäckt sannolikt att driva utvecklingen av bättre verktyg för säkerhetsanalys av kärnkod. Jag förväntar mig att vi kommer se ökade investeringar i automatiserade säkerhetstester som kan upptäcka liknande logikfel tidigare i utvecklingsprocessen.
För branschen är detta också ett argument för diversifiering av säkerhetsgranskningar. När en så grundläggande komponent som Linux-kärnan påverkas, påminns vi om vikten av att ha flera oberoende ögon på kritisk infrastruktur.