Sicherheitsforscher haben eine ernsthafte Schwachstelle im Linux-Kernel, bekannt als Kopie des Fehlers (CVE-2026-31431), die es einem lokalen Benutzer ohne Privileg erlaubt, vier gesteuerte Bytes im Cache von Seiten einer lesbaren Datei zu schreiben und so das Abheben von Privilegien zu verwurzeln. Der Ausfall liegt in der Logik des kryptographischen Teilsystems des Kernels, und zwar im Modul Algif _ aead, und kommt von einer Änderung des Codes im August 2017, was bedeutet, dass viele Distributionen seit Jahren ausgesetzt sind.
Was unterscheidet Copy Fail von anderen Fehlern ist seine Einfachheit und Portabilität: die Forscher zeigten eine Python-Explosion von nur 732 Bytes in der Lage, Code in eine setuid binäre (z.B. / usr / bin / su) zu injizieren und es mit Administrator-Privilegien. Es werden keine Fernexplosion oder komplexe Karrierebedingungen benötigt; die Technik basiert darauf, wie eine AEAD-Operation durch eine AF _ ALG-Sockel am Ende eine Cache-Seite an einem Ziel schreiben kann, das der kontrollierte Prozess manipulieren kann, und dann Spin () verwenden, um den Cache in der Zieldatei abzuschließen.
Aus betrieblicher Sicht hat dies kritische Auswirkungen auf gemeinsame Server und Containerumgebungen: Seite Cache ist eine gemeinsame Struktur zwischen Prozessen, so kann ein Benutzer, der auf einen Container oder einen Arbeiter auf einem Multi-User-Server beschränkt ist, möglicherweise Binaries im Host-System beeinflussen. Cloud-Lieferanten und Multi-Level-Infrastruktur-Manager sollten die Sicherheitslücke als hohes Risiko für die Integrität isolierter Umgebungen betrachten und dringende Minderung bereitstellen.
Die Distributions-Wartungsteams haben bereits Mitteilungen und Patches veröffentlicht; der richtige und abschließende Minderungspfad besteht darin, die von ihrem Lieferanten bereitgestellten Kernel-Updates (Amazon, Red Hat, SUSE, Debian, Ubuntu u.a.) anzuwenden. Sie können den offiziellen Eintrag in der Sicherheitsdatenbank für technische Details und Patch-Referenzen in NVD - CVE-2026-31431 und überprüfen Sie den betroffenen Code im offiziellen Kernelbaum in Git. Kernel.
Während der Patch ankommt oder in Umgebungen, in denen kein sofortiger Neustart möglich ist, gibt es vorübergehende Maßnahmen, die Sicherheitsteams mit Vorsicht berücksichtigen sollten: zu beurteilen, ob das Algif _ aead-Modul aufladbar ist und, soweit möglich, es (Modeson -r) in Systemen herunterladen, die es erlauben; den Zugriff auf unzuverlässige lokale Konten zu beschränken und Benutzer mit Genehmigungen zum Betrieb von AF _ ALG-Socksstecken zu minimieren; und in Container-Richtlinien zu überprüfen, um die Sicherheitsanforderungen zu überprüfen, um, um zu ermöglichen, dass Es ist zu beachten, dass einige "schnelle" Minderungen wie das Entfernen des Bits aus kritischen Diensten die Funktionalität beeinflussen und sollte nur mit einem Recovery-Plan verwendet werden.
Neben den Korrekturen ist es wichtig, mögliche Verpflichtungsindikatoren zu untersuchen: die Integrität von Setuid Binaries mittels Paketverifikationstools (rpm -V, debsums, etc.) zu überprüfen, Ausführungs- und Auditprotokolle (auditd) auf der Suche nach ungewöhnlichen Execve auf empfindlichen Binaries zu überprüfen und nach unerwarteten Änderungen in / usr / bin und anderen Systemverzeichnissen zu suchen. Die verwalteten Umgebungen und Cloud-Dienste sollten die Rotation von Bildern und die Aktualisierung von Knoten koordiniert priorisieren, um Belichtungsfenster zu vermeiden.
Die Wiederholung von Fehlern, die die Cache-Seite manipulieren - denken Sie daran, dass Cache Fail im Zuge früherer Schwachstellen wie Dirty Pipe kommt - zeigt, dass Leistungsoptimierungen im Kernel dauerhafte Angriffsvektoren einführen können. Für Entwicklungsteams und -betreiber ist die Unterrichtsstunde zweifach: einerseits, um schnelle Parkzyklen und Regressionstests zu erhalten, die Sicherheitsfälle beinhalten; andererseits, um Politiken von weniger Privilegien und defensivem Design zu stärken, um die Auswirkungen der lokalen Farmen zu minimieren.
Wenn Sie Linux-Systeme verwalten, priorisieren Sie die Anwendung der Sicherheitsbulletins Ihrer Distribution und Programm nach dem Kernel-Update neu gestartet. Halten Sie die Überwachung auf den offiziellen Kanälen und Schwachstellen-Datenbanken Ihres Lieferanten und planen Sie eine Post-Patch-Prüfung, um einen vorherigen Missbrauch zu erkennen. Die Koordination zwischen Sicherheitsteams, Betrieben und Lieferanten ist der Schlüssel, um diese Schwachstelle zu enthalten, die sich naturgemäß auf ein breites Spektrum an Einsatzmöglichkeiten von Workstations bis Cloud-Servern auswirkt.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...