Linux-distributies wereldwijd in het vizier van Copy Fail-exploit

vrijdag, 1 mei 2026 (13:26) - Techzine

In dit artikel:

De Linux-kernel heeft een ernstig privilege-escalatielek gekregen dat sinds kort publiek is: CVE-2026-31431, door onderzoekers van Theori “Copy Fail” genoemd. Gisteren werd een proof-of-concept vrijgegeven; het probleem treft alle grote Linux-distributies die zijn uitgebracht sinds 2017 en maakt het voor een niet-geprivilegieerde gebruiker mogelijk om volledige root-toegang te verkrijgen.

Theori ontdekte de fout met zijn AI-gestuurde pentesttool Xint Code en meldde die op 23 maart bij het Linux kernel security team; upstream-patches volgden op 1 april. De kwetsbaarheid zit in het crypto-template (authencesn) en ontstaat door een ‘in-place’ optimalisatie uit kernel 4.14 die buffers hergebruikt. Door AF_ALG-sockets te combineren met de splice()-systemcall kan een aanvaller vier gecontroleerde bytes in de page cache van een leesbaar bestand schrijven. Als die bytes op een setuid-root-binary terechtkomen, kan het gedrag van die binary worden aangepast en kan root worden verkregen.

Onderzoekers vergelijken Copy Fail met de Dirty Pipe-kwetsbaarheid uit 2022, maar wijzen erop dat de nieuwe exploit praktischer, betrouwbaarder en minder gevoelig voor race-condities is. Een 732-byte Python-exploit werkt consequent op distributies zoals Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 en SUSE 16; de slagingskans wordt richting 100% geschat. Dat, plus het feit dat de PoC publiek werd getoond voordat alle partijen de update hadden, leidde tot frustratie binnen de Linux-gemeenschap.

Upstream fixes zijn beschikbaar in kernel-versies 6.18.22, 6.19.12 en 7.0; distributies rollen updates uit via kernel-updates. Totdat systemen gepatcht zijn, is het uitschakelen van de algif_aead-module een aanbevolen tijdelijke mitigatie. Beheerders van multi-tenant hosts, Kubernetes-clusters, CI-runners en cloud-omgevingen moeten zo snel mogelijk patchen of de module uitschakelen, omdat de gebruikelijke voorafgaande waarschuwing via de linux-distros-maillijst niet is gevolgd, wat het risico op misbruik vergroot.