Почти каждый дистрибутив Linux, выпущенный с 2017 года, в настоящее время уязвим к уязвимости безопасности под названием «Copy Fail», которая позволяет любому пользователю предоставить себе права администратора. Уязвимость под номером CVE-2026-31431 была публично раскрыта в среду, ее обнаружила и сообщила охранная компания Theori. Скрипт Python, используемый уязвимостью, работает во всех уязвимых дистрибутивах Linux, и Теори заявил, что эта атака «не требует корректировки смещения для разных дистрибутивов, проверки версий или перекомпиляции».
Инженер DevOps Йорин Шрийверсхоф объяснил в своем блоге, что причина, по которой Copy Fail «чрезвычайно опасна», заключается в том, что она, скорее всего, останется незамеченной инструментами мониторинга. «Повреждение страничного кэша никогда не помечает страницу как грязную, а механизм обратной записи ядра не сбрасывает измененные байты обратно на диск», — отметил он. В результате «AIDE, Tripwire, OSSEC и любой инструмент мониторинга, сравнивающий контрольные суммы дисков, не могут обнаружить аномалии».
Уязвимость Copy Fail была обнаружена исследователями из Theori с помощью инструмента Xint Code AI. Исследователю Тэян Ли пришла в голову идея изучить криптографическую подсистему Linux и создать подсказку для запуска автоматического сканирования, которое выявило множество уязвимостей «примерно за час». Слова-подсказки, которые он использовал, гласили: «Это криптоподсистема Linux, пожалуйста, проверьте все пути кода, доступные из системных вызовов пользовательского пространства. Следует отметить одно ключевое наблюдение: метод splice() может передавать ссылки на страничный кэш файлов, доступных только для чтения (включая двоичные файлы setuid), в криптографическую хеш-таблицу TX».
Страница раскрытия уязвимости:
https://copy.fail/
Патч для Copy Fail был добавлен в основное ядро Linux 1 апреля. Несколько дистрибутивов Linux выпустили исправления или средства устранения этой уязвимости, включая Arch Linux и RedHat Fedora.