Forskere hos Xint Code publiserte 29. april PoC-koden for CVE-2026-31431, en logikkfeil i kjernens AF_ALG-krypto-API som de døper «Copy Fail». Bug-en sitter i authencesn, lenkes via splice() til en 4-byte page-cache-skriving, og rammer alle mainstream-kjerner mellom 2017 og patchen.
Forskerne kjører samme uendrede binær mot Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 14.3 og SUSE 16, og får root-shell på alle fire i én tagning. Det er ingen race-vinduer eller kjerne-spesifikke offsets å treffe; det er rett-fram logikk. Kravene er en lokal brukerkonto, ingenting mer. Ingen nettilgang, ingen kjerne-debug-flagg, ingen forhåndsinstallert primitiv.
Konsekvensen treffer alt som deler kjerne mellom utrygge brukere. Page cache deles på tvers av tenants, så en pod med riktige primitiver bryter ut til noden og krysser tenant-grenser. Self-hosted GitHub Actions-runners, GitLab-runners, Jenkins-agenter og notebook-hoster som kjører PR-kode som vanlig bruker er i scope. Også multitenant Kubernetes. Single-tenant prod der bare ditt team har shell? Også rot, fordi et hvilket som helst lokalt RCE blir automatisk root.
Bug-en ble funnet av et KI-agent-system kalt Xint Code etter rundt én times skann mot kjernens crypto/-undermappe, ifølge Xint. Samme skann avdekket flere høyalvorlige bugs som fortsatt er under koordinert rapportering.
Hva bør du gjøre?
- Patch kjernen til en versjon som inkluderer mainline-commit
a664bf3d603d, som reverserer 2017-optimaliseringen ialgif_aead. De fleste store distroer ruller fiksen nå. - Før patch er på plass: deaktiver
algif_aead-modulen medecho "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.confogrmmod algif_aead. Det kutter angrepsflaten umiddelbart. - For utrygge workloads (containere, sandkasser, CI-runners): blokker AF_ALG-socket-opprettelse via seccomp uavhengig av patch-status. Det dreper bug-klassen, ikke bare denne CVE-en.