Een exploit voor beveiligingslek ‘Copy Fail’ (CVE-2026-31431) in de Linux kernel is openbaar geworden. Het lek treft alle grote Linux-distributies die zijn uitgebracht sinds 2017 en geeft aanvallers zonder administratorrechten volledige root-toegang. Patches zijn beschikbaar in nieuwe kernel-versies; wie nog niet heeft gepatcht, kan als mitigatie de algif_aead-module uitschakelen. Het lek, onthuld voordat een fix gereed was, wekt frustratie binnen de Linux-community op.
Gisteren werd een publieke proof-of-concept beschikbaar gemaakt. De kwetsbaarheid, geregistreerd als CVE-2026-31431 en ontdekt door securitybedrijf Theori, is aanwezig in alle grote Linux-distributies die zijn uitgebracht sinds 2017.
Theori vond de fout via zijn AI-gestuurde pentestplatform Xint Code, dat het crypto-subsysteem van de kernel in ongeveer een uur scande. De bevinding werd op 23 maart gemeld bij het Linux kernel security team; patches volgden binnen een week.
Vier bytes die alles veranderen
De kern van het probleem zit in de cryptografische template “authencesn” van de Linux kernel. Door de AF_ALG-socketinterface te combineren met de splice()-system call, kan een ongeprivilegieerde gebruiker vier gecontroleerde bytes schrijven naar de page cache van een willekeurig leesbaar bestand, in plaats van naar een normale buffer. Landen die vier bytes op een setuid-root binary, dan kan de aanvaller het gedrag ervan aanpassen en root-privileges verkrijgen.
De fout is geïntroduceerd in 2017, toen het Linux kernel-team een ‘in-place’-optimalisatie toevoegde aan het crypto-pad in kernel versie 4.14. Daarmee begon de kernel dezelfde buffer te hergebruiken in plaats van invoer en uitvoer strikt gescheiden te houden.
Het incident wekte frustratie onder ontwikkelaars en bijdragers aan de Linux-kernel en -distributies. Een gebruiker sprak van een “ramp” en dat het “extreem onverantwoord” was om het lek als proof-of-concept te tonen voordat de patches uitgerold waren.
Gevaarlijker dan Dirty Pipe
Theori vergelijkt Copy Fail met de beruchte Dirty Pipe-kwetsbaarheid uit 2022, maar noemt het nieuwe lek praktischer en breder inzetbaar. De 732-byte Python-exploit werkt consequent op Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 en SUSE 16. Ook is Copy Fail minder gevoelig voor timing- en race-condities dan Dirty Pipe, waardoor de slaagkans van de exploit op 100 procent wordt geschat.
Met een dergelijke slaagkans is het doorvoeren van de tijdelijke fix essentieel en ook het patchen zodra een update beschikbaar is. Normaliter had een dergelijke kwetsbaarheid gemeld moeten worden aan de linux-distros-maillijst op OpenWall. Het feit dat dit niet is gebeurd, zorgt voor een veel groter risico op werkelijke exploitatie.
Patches en tijdelijke mitigatie
CVE-2026-31431 is wel al upstream gepatcht op 1 april door het terugdraaien van de problematische crypto-optimalisatie. Fixes zijn beschikbaar in kernel-versies 6.18.22, 6.19.12 en 7.0. Grote Linux-distributies rollen de update uit via kernel-updates, al melden onderzoekers dat er nog geen officiële advisory voor CVE-2026-31431 bestaat. Wie de patch nog niet heeft ontvangen, kan als tijdelijke maatregel de algif_aead-module uitschakelen. Theori adviseert om multi-tenant Linux-hosts, Kubernetes-clusters, CI-runners en cloud SaaS vooral zo snel mogelijk te patchen.