Een exploit voor beveiligingslek \u2018Copy Fail\u2019 (CVE-2026-31431) in de Linux kernel is openbaar geworden. Het lek treft alle grote Linux-distributies die zijn uitgebracht sinds 2017 en geeft aanvallers zonder administratorrechten volledige root-toegang. Patches zijn beschikbaar in nieuwe kernel-versies; wie nog niet heeft gepatcht, kan als mitigatie de algif_aead-module uitschakelen. Het lek, onthuld voordat een fix gereed was, wekt frustratie binnen de Linux-community op. <\/p>\n
Gisteren werd een publieke proof-of-concept beschikbaar gemaakt. De kwetsbaarheid, geregistreerd als CVE-2026-31431 en ontdekt door securitybedrijf Theori, is aanwezig in alle grote Linux-distributies die zijn uitgebracht sinds 2017.<\/p>\n
Theori vond de fout via zijn AI-gestuurde pentestplatform Xint Code<\/a>, dat het crypto-subsysteem van de kernel in ongeveer een uur scande. De bevinding werd op 23 maart gemeld bij het Linux kernel security team; patches volgden binnen een week.<\/p>\n Vier bytes die alles veranderen<\/p>\n De kern van het probleem zit in de cryptografische template \u201cauthencesn\u201d van de Linux kernel. Door de AF_ALG-socketinterface te combineren met de splice()-system call, kan een ongeprivilegieerde gebruiker vier gecontroleerde bytes schrijven naar de page cache van een willekeurig leesbaar bestand, in plaats van naar een normale buffer. Landen die vier bytes op een setuid-root binary, dan kan de aanvaller het gedrag ervan aanpassen en root-privileges verkrijgen.<\/p>\n De fout is ge\u00efntroduceerd in 2017, toen het Linux kernel-team een \u2018in-place\u2019-optimalisatie toevoegde aan het crypto-pad in kernel versie 4.14. Daarmee begon de kernel dezelfde buffer te hergebruiken in plaats van invoer en uitvoer strikt gescheiden te houden.<\/p>\n Het incident wekte frustratie onder ontwikkelaars en bijdragers aan de Linux-kernel en -distributies. Een gebruiker<\/a> sprak van een \u201cramp\u201d en dat het \u201cextreem onverantwoord\u201d was om het lek als proof-of-concept te tonen voordat de patches uitgerold waren.<\/p>\n Gevaarlijker dan Dirty Pipe<\/p>\n Theori vergelijkt Copy Fail met de beruchte Dirty Pipe-kwetsbaarheid<\/a> uit 2022, maar noemt het nieuwe lek praktischer en breder inzetbaar. De 732-byte Python-exploit werkt consequent op Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 en SUSE 16. Ook is Copy Fail minder gevoelig voor timing- en race-condities dan Dirty Pipe, waardoor de slaagkans van de exploit op 100 procent wordt geschat.<\/p>\n