一、情况概述

 近期，Linux内核中被披露存在一个高危的本地权限提升漏洞（漏洞代号：Copy Fail，CVE编号：CVE-2026-31431）。该漏洞由Xint Code研究团队发现，是一个隐蔽且极易触发的内核逻辑缺陷。攻击者利用该漏洞可以实现稳定、确定性的提权操作。

目前，该漏洞的完整利用代码（PoC）已经公开，受影响时间跨度长达近十年（自2017年起），且覆盖所有主流Linux发行版本。云服务器、容器宿主机及多租户环境面临极高的安全风险。
二、风险详情

1. 漏洞成因：该漏洞源于Linux内核加密子系统中 authencesn 模块的逻辑缺陷。当攻击者结合使用 AF_ALG 套接字和 splice() 系统调用时，会将目标文件的页缓存（Page Cache）引用暴露在可写的散列表（Scatterlist）中，从而允许无特权的本地用户向系统内任意可读文件（如 setuid 的 su 二进制文件）的页缓存中进行精确的4字节越界写入。

2. 漏洞特征：

–无条件触发（直线逻辑缺陷）：与Dirty Cow（脏牛）等依赖条件竞争（Race Condition）的漏洞不同，Copy Fail漏洞不需要竞争窗口，运行稳定，不会导致系统崩溃。

–极度隐蔽（绕过文件完整性校验）：该漏洞仅修改内存中的页缓存，内核不会将其标记为“脏页”（Dirty）并回写到磁盘。因此，磁盘上的文件保持不变，传统基于文件系统特征比对或哈希校验的完整性检查工具无法发现该篡改。

–极易利用（单文件脚本）：利用代码仅为732字节的Python标准库脚本，无需编译即可在各类架构与发行版上通用。
三、风险危害

1. 本地权限提升：任何无特权的本地普通用户均可利用该漏洞篡改高权限进程（如 /usr/bin/su），直接获取系统最高级别的 root 权限。

2. 容器逃逸与跨租户攻击：由于操作系统的页缓存在宿主机与所有容器之间共享，容器内的攻击者一旦掌握适当的系统调用权限，即可篡改宿主机的页缓存，实现容器逃逸并接管整个Kubernetes节点或宿主机资源。

3. 高危场景威胁：对多用户共享主机、开发机、CI/CD执行器（如GitHub Actions、GitLab Runner等沙盒环境）以及Serverless等多租户云服务造成严重的跨越隔离界限的威胁。