Quase todas as distribuições Linux lançadas desde 2017 estão atualmente vulneráveis a um bug de segurança chamado “Falha na cópia”, que permite a qualquer usuário conceder privilégios de administrador. Exploração, divulgado ao público como o CVE-2026-31431 de quarta-feira, ele usa um script Python que funciona em todas as distribuições Linux vulneráveis, exigindo “nenhuma compensação por distribuição, nenhuma verificação de versão, nenhuma recompilação”, de acordo com Theori, a empresa de segurança que o divulgou.
Ars Teknika mostre-me esta postagem do blog onde o engenheiro de DevOps Jorijn Schrijvershof explicar que o que torna o Copy Fail “tão ruim” é a probabilidade de passar despercebido pelas ferramentas de monitoramento: “A corrupção do cache da página nunca marca a página como suja. O mecanismo de writeback do kernel nunca retorna bytes modificados para o disco.” Como resultado, “AIDE, Tripwire, OSSEC e qualquer ferramenta de monitoramento que compare somas de verificação no disco não vêem nada”.
Copy Fail foi identificado pelos pesquisadores da Theori com a ajuda de sua ferramenta Xint Code AI. De acordo com para a postagem do blogTaeyang Lee teve a ideia de examinar o subsistema de criptografia do Linux e criou este comando para executar uma verificação automatizada que identificou várias vulnerabilidades em “cerca de uma hora”.
“Este é um subsistema / criptografia Linux. Verifique todos os caminhos de código acessíveis a partir de syscalls do espaço do usuário. Observe uma observação importante: splice () pode passar referências de cache de página de arquivos somente leitura (incluindo binários setuid) para a lista de dispersão de criptografia TX. “
De acordo com a página de divulgação de exploração, um patch para Copy Fail foi adicionado ao kernel principal do Linux em 1º de abril. Ars Teknika Observe que os pesquisadores que identificaram o Copy Fail publicaram detalhes da exploração publicamente antes que todas as distribuições afetadas pudessem lançar patches para a exploração. Várias distros, incluindo Arco Linux, Chapéu Vermelho FedoraE AmazonLinuxlançou um patch, mas muitos outros patches não resolvem o problema imediatamente.
