NỘI DUNG
Lỗ hổng leo thang đặc quyền CVE-2026-31431 trên Linux Kernel (Copy Fail) cách xử lý tạm thời.
Lỗ hổng CVE-2026-31431, còn được gọi là “Copy Fail”, là một lỗ hổng nghiêm trọng trong nhân Linux cho phép người dùng không có đặc quyền (non-root) có thể leo thang đặc quyền lên root.
- Ngày công bố: 29/04/2026
- Mức độ: Nghiêm trọng (CVSS 7.8)
- Thành phần bị ảnh hưởng:
algif_aead(crypto subsystem) - Phạm vi ảnh hưởng: Hầu hết các bản phân phối Linux sử dụng kernel từ năm 2017 đến nay
Các distro bị ảnh hưởng bao gồm:
- AlmaLinux / Rocky Linux / RHEL / CentOS
- Ubuntu / Debian
- Amazon Linux / SUSE / Oracle Linux
Mô tả lỗ hổng
Lỗ hổng tồn tại trong module algif_aead của crypto subsystem. Kẻ tấn công có thể khai thác lỗi xử lý bộ nhớ để thực thi mã với quyền cao hơn.
Đáng chú ý:
- Chỉ cần quyền user thông thường
- Exploit đã được công khai (PoC ~732 byte Python)
- Đã được xác nhận hoạt động trên nhiều hệ thống chưa vá
- Tỷ lệ thành công rất cao
Mức độ rủi ro
Đây là lỗ hổng có mức độ nguy hiểm cao, đặc biệt với các hệ thống multi-user hoặc cho phép chạy code tùy ý.
Các môi trường có nguy cơ cao:
- Hosting / Shared Hosting
- Kubernetes Cluster / Container runtime
- CI/CD (GitHub Actions, GitLab Runner…)
- Máy chủ multi-tenant
- SaaS cho phép người dùng chạy code
Trong các môi trường này, attacker chỉ cần một shell user là có thể chiếm toàn bộ hệ thống.
Cách cập nhật bản vá
1. AlmaLinux / Rocky / CentOS / RHEL
sudo dnf clean metadata
sudo dnf upgrade 'kernel*'
sudo rebootPhiên bản kernel an toàn:
- AlmaLinux 8:
>= 4.18.0-553.121.1.el8_10 - AlmaLinux 9:
>= 5.14.0-611.49.2.el9_7 - AlmaLinux 10:
>= 6.12.0-124.52.2.el10_1
2. Ubuntu / Debian
sudo apt update && sudo apt upgrade
sudo rebootTrạng thái các phiên bản Ubuntu:
| Phiên bản | Trạng thái | Gói đã vá |
|---|---|---|
| 14.04 (Trusty) | ⚠ | 15-0ubuntu7+esm1 |
| 16.04 (Xenial) | ⚠ | 22-1ubuntu5.2+esm1 |
| 18.04 (Bionic) | 🔴 Bị ảnh hưởng | 24-1ubuntu3.5+esm1 |
| 20.04 (Focal) | 🔴 Bị ảnh hưởng | 27-1ubuntu2.1+esm1 |
| 22.04 (Jammy) | 🔴 Bị ảnh hưởng | 29-1ubuntu1.1 |
| 24.04 (Noble) | 🔴 Bị ảnh hưởng | 31+20240202-2ubuntu7.2 |
| 25.10 (Questing) | 🔴 Bị ảnh hưởng | 34.2-2ubuntu1.1 |
| 26.04 (Resolute) | ✅ Không bị ảnh hưởng | Không cần update |
Kiểm tra sau khi cập nhật
Kiểm tra kernel:
uname -rKiểm tra gói kmod (Ubuntu/Debian):
dpkg -l kmodGiải pháp tạm thời (Mitigation)
Trong trường hợp chưa thể reboot ngay, có thể giảm thiểu rủi ro bằng cách vô hiệu hóa module bị ảnh hưởng:
echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif_aead.conf
sudo rmmod algif_aead 2>/dev/nullKiểm tra module đã được unload:
grep -qE '^algif_aead ' /proc/modules && echo "Module van dang load" || echo "Module da duoc unload"Thành phần KHÔNG bị ảnh hưởng
Lỗ hổng này không ảnh hưởng đến các hệ thống/giải pháp phổ biến sau:
- dm-crypt / LUKS
- kTLS
- IPsec
- OpenSSL / GnuTLS
- SSH
Khuyến nghị
- Ưu tiên cập nhật kernel và reboot sớm nhất có thể
- Hạn chế user shell trên hệ thống production
- Kiểm tra lại các hệ thống multi-tenant
- Áp dụng monitoring phát hiện privilege escalation
Kết luận
CVE-2026-31431 là một lỗ hổng leo thang đặc quyền cực kỳ nguy hiểm với exploit đã public và dễ sử dụng. Các hệ thống Linux chưa vá đều có nguy cơ bị chiếm quyền root chỉ từ một user thường.
Khuyến nghị: cập nhật ngay lập tức hoặc áp dụng mitigation nếu chưa thể reboot.
Với kinh nghiệm thực chiến từ việc tiếp xúc hàng ngày với vô vàn vấn đề về Website, Hosting, VPS, Server tại Phòng Kỹ thuật AZDIGI, mình luôn ấp ủ niềm đam mê chia sẻ kiến thức.
Mình xây dựng các blog không chỉ để tự trau dồi kỹ năng mà còn để cung cấp những tài liệu, hướng dẫn hữu ích nhất đến cộng đồng. Rất mong nhận được sự quan tâm của các bạn!
Để lại thông tin, mình sẽ phản hồi ngay.