Op 29 april 2026 is een ernstige lokale privilege-escalatie kwetsbaarheid in de Linux-kernel openbaar gemaakt, bekend onder CVE-2026-31431 en de naam "Copy Fail". Deze kwetsbaarheid treft alle gangbare Linux-distributies met een kernelversie vanaf 2017. Er is inmiddels een proof-of-concept exploit publiek beschikbaar gesteld.

Tot op heden heeft geen enkele distributie een gepatchte kernel uitgebracht. De hoofdfix werd op 1 april 2026 in de mainline kernel doorgevoerd, maar updates van leveranciers blijven uit. CERT-EU adviseert dringend om de tijdelijke mitigatie direct toe te passen, met prioriteit voor Kubernetes-nodes en CI/CD-omgevingen die blootstaan aan onbetrouwbare workloads.

De kwetsbaarheid betreft het algif_aead kernelmodule, onderdeel van de AEAD socket interface van de gebruikersruimte crypto API (AF_ALG). Door een optimalisatie uit 2017 kunnen pagina-cache pagina's in een schrijfbare scatterlist worden geplaatst. Een lokale gebruiker zonder rechten kan via een keten van AF_ALG socket operaties en splice() een gecontroleerde 4-byte schrijf uitvoeren naar een willekeurige pagina-cache pagina. Hiermee kan bijvoorbeeld het setuid-binaire bestand /usr/bin/su worden aangepast om een root shell te verkrijgen.

De fix in de mainline kernel herroept de problematische optimalisatie uit 2017. Onderzochte distributies zoals Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10 en SUSE zijn allemaal kwetsbaar zolang zij geen update hebben uitgebracht. Andere distributies binnen het getroffen kernelbereik, waaronder Debian, Arch Linux, Fedora en diverse embedded Linux systemen, zijn eveneens kwetsbaar. Ubuntu 26.04 en latere versies zijn niet getroffen.

Als tijdelijke maatregel raadt CERT-EU aan om het algif_aead kernelmodule permanent uit te schakelen met een modprobe-configuratie en het module direct te verwijderen. Deze workaround beïnvloedt geen dm-crypt/LUKS, kTLS, IPsec/XFRM, OpenSSL, GnuTLS, NSS of SSH, maar kan impact hebben op applicaties die expliciet gebruikmaken van de afalg engine. Het gebruik van AF_ALG sockets kan worden gecontroleerd met het commando lsof | grep AF_ALG.

Daarnaast adviseert CERT-EU om in containeromgevingen en CI/CD-pijplijnen het aanmaken van AF_ALG sockets te blokkeren via seccomp-beleid, ongeacht de patchstatus. Dit geldt voor Docker- en Podman-omgevingen en Kubernetes-clusters. Omdat het openen van een AF_ALG socket de eerste stap van de exploit is, voorkomt deze maatregel effectief misbruik op ongepachte systemen.

Meer informatie is beschikbaar in het onderzoek van de onderzoekers en in de security trackers van Ubuntu, SUSE en Red Hat.