这几天安全圈又热闹了,一个代号为 “Copy Fail” 的 Linux 内核漏洞被公开,编号 CVE-2026-31431。
我看群里大家传得沸沸扬扬,有的甚至以为又是一个类似 Log4j 那种远程一键打穿的核弹漏洞。别慌,先喝口水。我仔细看了一下 Tenable 的通报,这是一个本地提权漏洞(Local Privilege Escalation)。
也就是说,黑客得先想办法在你的机器上拿到一个普通用户的执行权限,然后才能利用这个漏洞把权限提升到 root。
那么这个漏洞到底影响谁?我们现在该怎么处理?我简单给大家梳理一下。
谁最需要紧张?
虽然不是远程漏洞,但也别掉以轻心。如果你的服务器属于以下几种情况,建议赶紧安排升级:
- 多用户共享服务器:给很多人开了普通子账号的跳板机、开发机。
- 容器集群宿主机(K8s 等):如果有容器逃逸风险,宿主机的内核漏洞会变成超级跳板。
- 跑 CI/CD 任务的 Runner:经常运行各种第三方不可信脚本的节点。
- 在线判题系统(OJ)、沙盒环境:本身就允许执行未知代码的地方。
反之,如果你的服务器只有你一个人用,没对外开放什么奇怪的服务,密码也足够强,那被利用的概率其实很低,可以等晚上业务低峰期慢慢修。
怎么查自己的机器有没有中招?
影响范围据说是 Linux kernel 4.14 及之后的版本(这基本上涵盖了目前绝大多数在跑的系统了)。
第一步,先看看自己的内核版本:
uname -r注意:如果你用的是 Docker,在容器里查看到的是宿主机的内核。要修也是修宿主机,别在容器里折腾。
赶紧修复:正确姿势
别去网上随便乱搜什么“一键修复脚本”,小心被人二次投毒。老老实实用官方包管理器升级内核就行了。
Ubuntu / Debian 系:
sudo apt updatesudo apt list --upgradable | grep -i linux# 直接升级系统内核sudo apt upgradeCentOS / RHEL / Rocky 系:
sudo dnf updateinfo list securitysudo dnf update kernel⚠️ 最重要的一步:重启! 内核升级不像普通软件,必须重启服务器才会加载新内核。
sudo reboot# 重启完再确认一下版本是不是变了uname -r临时缓解方案
如果你这是一台核心业务服务器,根本没办法随便重启,怎么办?
目前看,这个漏洞主要跟内核的 algif_aead 接口有关。作为临时方案,你可以尝试禁用这个模块的加载(前提是你的业务没用到它,一定要先测试!)。
你可以先查一下:
lsmod | grep algif如果有输出,说明已经加载了。如果没有,你可以通过配置黑名单来阻止它加载,熬过这段时间再找机会彻底升级内核。
总结
安全问题年年有,保持平常心。 顺手提醒一句,除了修这个 CVE-2026-31431,平时也要注意限制低权限账号、废弃的测试账号及时删,这才是防范本地提权最管用的笨办法。
发现错误,或想补充改进这篇文章?
在 GitHub 上编辑此文