- Vulnerabilidade Copy Fail afeta distribuições Linux desde 2017, identificada como CVE-2026-31431, permitindo que usuário local obtenha acesso root em determinadas situações.
- Demonstração com script Python de 732 bytes mostrou como é possível modificar arquivos mapeados em memória e obter privilégios elevados.
- O problema alcança kernels lançados a partir de 2017, começando pela versão 4.14; foi testado em Ubuntu 24.04 LTS, Amazon Linux 2023, SUSE 16 e Red Hat Enterprise Linux 10.1.
- Risco varia conforme o ambiente: baixo para usuários domésticos (acesso local, não remoto), médio para servidores convencionais e alto para aplicações profissionais com ambientes multiuso.
- Correções já estão sendo liberadas; SUSE, Canonical (Ubuntu) e Red Hat já adotaram soluções. Usuários devem manter a distribuição atualizada e organizações devem seguir as orientações dos mantenedores conforme a criticidade.
Desde a semana passada, pesquisadores revelaram uma vulnerabilidade em várias distribuições Linux desde 2017, batizada de Copy Fail. Ela pode permitir acesso indevido com privilégios de root, embora não seja considerada dramática para usuários domésticos. O anúncio ocorreu no contexto de divulgação pública.
A falha, identificada como CVE-2026-31431, foi descoberta pela Theori com apoio do Xint Code. O problema envolve uma operação de cópia em um módulo criptográfico do kernel Linux, o algif_aead, que pode sobrescrever 4 bytes de uma página do page cache sob determinadas condições.
Essa vulnerabilidade pode levar à modificação de arquivos mapeados na memória, abrindo caminho para capturar dados, inserir código ou alterar configurações de segurança. A demonstração prática utilizou um script Python de 732 bytes para obter privilégios elevados.
O alcance e o que mudou para quem usa Linux
O CVE-2026-31431 atinge versões do kernel lançadas a partir de 2017, começando pela 4.14, o que abrange diversas distribuições. Entre as testadas estavam Ubuntu 24.04 LTS, Amazon Linux 2023, SUSE 16 e Red Hat Enterprise Linux 10.1, entre outras.
Segundo a Theori, o risco para usuários domésticos é baixo, porque a exploração exige acesso local, não sendo possível ataque remoto. Em ambientes profissionais, como clusters, a situação é mais relevante devido ao compartilhamento do kernel entre usuários e workloads.
Medidas e próximos passos
Atualizações de kernel já começaram a ser liberadas por fabricantes de distribuições, com SUSE, Canonical (Ubuntu) e Red Hat entre as primeiras a oferecer correções. Usuários devem manter a distribuição atualizada para mitigar o risco.
Para organizações, a orientação é seguir as orientações dos mantenedores da distribuição e avaliar a criticidade das aplicações que dependem do kernel. Em todos os casos, a prioridade é aplicar as correções assim que possível.
Entre na conversa da comunidade