NỘI DUNG
Cập nhật ngày: 01/05/2026
Tổng quan về lỗ hổng
CVE-2026-31431 (còn gọi là Copy Fail) là lỗ hổng bảo mật nghiêm trọng trong Linux kernel, cụ thể là module algif_aead (AF_ALG). Lỗ hổng này cho phép bất kỳ người dùng cục bộ nào có thể chiếm quyền root thông qua một đoạn mã Python chỉ 732 bytes. Tất cả các phiên bản Linux kernel từ năm 2017 đều bị ảnh hưởng.
Các phiên bản CloudLinux bị ảnh hưởng
| Phiên bản CloudLinux | Trạng thái | Hình thức vá lỗi |
| CL7 | Không bị ảnh hưởng | Không cần thao tác |
| CL7h, CL8 | Bị ảnh hưởng | Đang cập nhật qua CloudLinux kernel |
| CL9, CL10 | Bị ảnh hưởng | Cập nhật qua AlmaLinux kernel |
Biện pháp khắc phục tạm thời (Áp dụng ngay)
Cho đến khi kernel đã vá hoặc KernelCare livepatch được cài đặt, bạn cần chặn algif_aead thông qua grubby để ngăn giao diện AEAD AF_ALG được đăng ký khi khởi động. Điều này sẽ đóng lỗ hổng mà không cần thay thế kernel, nhưng yêu cầu khởi động lại.
Các bước thực hiện:
1. Áp dụng hạn chế qua grubby:
sudo grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"2. Khởi động lại hệ thống:
sudo reboot3. Sau khi khởi động lại, xác nhận tham số đã được áp dụng:
sudo grubby --info=ALL | grep initcall_blacklistKết quả phải chứa initcall_blacklist=algif_aead_init
Để gỡ bỏ biện pháp tạm thời sau khi đã cài kernel đã vá:
sudo grubby --update-kernel=ALL --remove-args="initcall_blacklist=algif_aead_init"
sudo rebootLưu ý về tương thích:
Biện pháp này không ảnh hưởng đến:
- dm-crypt / LUKS
- kTLS
- IPsec
- SSH
- OpenSSL / GnuTLS (cấu hình mặc định)
Chỉ các ứng dụng sử dụng AF_ALG cho AEAD ciphers (rất hiếm trên web hosting) mới bị tác động.
CẢNH BÁO: Biện pháp khắc phục qua modprobe KHÔNG hoạt động
Cách khắc phục được lan truyền trên oss-security (thêm dòng install algif_aead /bin/false vào /etc/modprobe.d/ và chạy rmmod algif_aead) KHÔNG hoạt động trên CloudLinux, AlmaLinux hoặc bất kỳ bản phân phối họ RHEL nào.
Lý do: Module algif_aead được tích hợp sẵn trong kernel (CONFIG_CRYPTO_USER_API_AEAD=y), nên không thể chặn qua modprobe.d và không thể gỡ bỏ bằng rmmod.
Bạn có thể kiểm tra:
modinfo algif_aead | grep filename
# Kết quả: (builtin)Bảo vệ bổ sung cho người dùng Imunify360
Nếu bạn đang sử dụng Imunify360, hệ thống đã tự động phát hiện các dấu hiệu tấn công của CVE-2026-31431. Tuy nhiên, đây chỉ là lớp bảo vệ bổ sung và không thay thế việc cập nhật kernel.
Cập nhật kernel đã vá
Cho CL9 và CL10 (sử dụng AlmaLinux kernel)
Kernel đã vá đã có trong kho testing của AlmaLinux:
- CL9: kernel-5.14.0-611.49.2.el9_7 hoặc mới hơn
- CL10: kernel-6.12.0-124.52.2.el10_1 hoặc mới hơn
Cài đặt từ kho testing của AlmaLinux:
Cho CL10:
# 1. Kích hoạt kho testing của AlmaLinux 10
dnf install -y https://repo.almalinux.org/almalinux/10/extras/x86_64/os/Packages/almalinux-release-testing-10-1.el10.x86_64.rpm
# 2. Cập nhật kernel
dnf update 'kernel*'
# 3. Khởi động lại
reboot
# 4. Xác minh - phải là kernel-6.12.0-124.52.2.el10_1 hoặc mới hơn
uname -r
# 5. Vô hiệu hóa kho testing
dnf config-manager --disable almalinux-testingCho CL9:
Thực hiện tương tự CL10, chỉ thay URL ở bước 1:
dnf install -y https://repo.almalinux.org/almalinux/9/extras/x86_64/os/Packages/almalinux-release-testing-9-1.el9.noarch.rpmCho CL7h và CL8 (sử dụng CloudLinux kernel)
CloudLinux kernel đang được xây dựng lại dựa trên kernel AlmaLinux 8 đã vá (kernel-4.18.0-553.121.1.el8_10). Kernel này sẽ được phát hành qua kênh beta (cloudlinux-updates-testing) trước, sau đó chuyển sang kênh stable.
Theo dõi tại: CloudLinux Status Page – incident 642sgcmntkkk
KernelCare LivePatch (cho tất cả phiên bản bị ảnh hưởng)
Nếu bạn đang sử dụng KernelCare, bản vá sẽ được áp dụng tự động không cần khởi động lại thông qua:
kcarectl --updateLivepatch đang được chuẩn bị và sẽ được phát hành trong 6-24 giờ tới.
Kiểm tra xác nhận
Để xác minh biện pháp tạm thời đã được áp dụng:
sudo grubby --info=ALL | grep initcall_blacklistNếu kết quả chứa initcall_blacklist=algif_aead_init cho kernel đang hoạt động, biện pháp đã có hiệu lực.
Nguồn thông tin thêm
- Chi tiết lỗ hổng: copy.fail
- Trang trạng thái CloudLinux: CloudLinux Status Page
- Thông báo AlmaLinux: AlmaLinux announcement
Khuyến nghị: Áp dụng biện pháp khắc phục tạm thời ngay lập tức và theo dõi thông báo cập nhật để cài đặt kernel đã vá càng sớm càng tốt.
Thông tin chi tiết xem tại đây:
- https://blog.cloudlinux.com/cve-2026-31431-copy-fail-mitigation-and-patches
- https://blog.cloudlinux.com/cve-2026-31431-copy-fail-kernel-update
Với kinh nghiệm thực chiến từ việc tiếp xúc hàng ngày với vô vàn vấn đề về Website, Hosting, VPS, Server tại Phòng Kỹ thuật AZDIGI, mình luôn ấp ủ niềm đam mê chia sẻ kiến thức.
Mình xây dựng các blog không chỉ để tự trau dồi kỹ năng mà còn để cung cấp những tài liệu, hướng dẫn hữu ích nhất đến cộng đồng. Rất mong nhận được sự quan tâm của các bạn!
Để lại thông tin, mình sẽ phản hồi ngay.