更新时间:2026-05-07 GMT+08:00
Linux内核权限提升漏洞公告(CVE-2026-31431)
近期,互联网披露 CVE-2026-31431 Linux Copy Fail 本地提权漏洞。由于Linux 内核加密子系统 authencesn模块中存在逻辑缺陷,攻击者通过 AF_ALG 套接字暴露的内核加密 API,配合 splice()系统调用,可实现对 setuid 二进制文件(如 /usr/bin/su)页缓存的 4 字节任意写入,可导致容器逃逸、权限提升。
漏洞详情
| 漏洞类型 | CVE-ID | 漏洞级别 | 披露/发现时间 |
|---|---|---|---|
| 权限提升 | 严重 | 2026-04-22 |
漏洞影响
Linux 内核 crypto 子系统中的 algif_aead 模块存在逻辑缺陷,导致低权限用户可利用该模块漏洞将任意数据写入内核 page cache,如可篡改 SUID 二进制程序(如 su、sudo 等)进行提权。由于页缓存在宿主机与容器间共享,该漏洞可导致容器逃逸。
漏洞的利用,需要用户具备主机或容器内可执行权限。
判断方法
- 如果集群节点OS是CentOS 7.6、Huawei Cloud EulerOS 1.1,由于内核版本低于3.15,不在漏洞影响范围内。
- 对于Huawei Cloud EulerOS 2.0、Ubuntu 22.04、EulerOS 2.9、EulerOS 2.10操作系统,采用如下命令查看内核版本:
uname -a
若查询结果>= 4.14 ,则受该漏洞影响。
漏洞消减方案
- 方案一:通过禁用内核模块消减 针对Huawei Cloud EulerOS 2.0、EulerOS 2.9、EulerOS 2.10操作系统,为内置模式(built-in,静态编译进内核),操作步骤如下:
# 查看模块是否加载,若已经加载的情况,需先卸载再禁用 # 1)查看是否加载,执行下列命令有输出,说明已加载 lsmod|grep authencesn # 2)卸载模块: modprobe -r authencesn # 禁用内核模块 echo "install authencesn /bin/false" >> /etc/modprobe.d/blacklist.conf
针对Ubuntu 22.04操作系统,通过禁用algif_aead内核模块消减,操作步骤如下:# 禁用内核模块 echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf # 卸载已加载模块 rmmod algif_aead 2>/dev/null
- 方案二:在容器工作负载自定义seccomp配置文件中,禁用AF_ALG socket。详情请参见使用seccomp限制容器的系统调用。
seccomp配置规则示例如下:
"syscalls":[{"names":["socket"],"action":"SCMP_ACT_ERRNO","args":[{"index":0,"value":38,"op":"SCMP_CMP_EQ"}]}]
请结合业务需求选择方案。CCE功能不依赖上述内核模块或seccomp配置,请在测试环境充分验证后再实施。
漏洞修复方案
针对Huawei Cloud EulerOS 2.0、Ubuntu 22.04操作系统,CCE和相关团队将发布新版本OS修复,请关注操作系统镜像版本说明。
针对EulerOS 2.9、EulerOS 2.10操作系统,当前已经EOS,请切换到Huawei Cloud EulerOS 2.0或Ubuntu 22.04操作系统。
在发布修复的OS镜像后,新建集群、节点默认修复该漏洞,存量节点可通过重置节点修复。若集群版本已经EOS,需先升级集群版本。
