Peringatan Mist Halus: Kerentanan Linux Copy Fail sangat mudah dieksploitasi, disarankan untuk segera tingkatkan kernel

Menurut SlowMist, Chief Information Security Officer 23pds, pada 30 April mengunggah sebuah posting di X yang menyebut bahwa di sistem Linux ditemukan celah logika bernama “Copy Fail” (CVE-2026-31431). Celah ini sangat mudah dimanfaatkan; SlowMist menyarankan pengguna untuk segera melakukan upgrade inti (kernel).

Informasi Dasar Celah dan Ruang Lingkup yang Terdampak

Berdasarkan laporan teknis tim riset Xint Code pada 29 April, CVE-2026-31431 adalah celah logika pada templat verifikasi enkripsi AEAD di kernel Linux, algif_aead.c. Celah ini memanfaatkan rantai pemanggilan AF_ALG + fungsi splice(), yang memungkinkan pengguna lokal tanpa hak istimewa melakukan penulisan terkontrol 4 byte secara deterministik pada halaman cache file apa pun yang dapat dibaca sistem. Selanjutnya, melalui perusakan berkas biner setuid, pelaku memperoleh hak akses root.

Menurut laporan Xint Code, versi distribusi dan kernel yang teruji terdampak meliputi:

Ubuntu 24.04 LTS: kernel 6.17.0-1007-aws

Amazon Linux 2023: kernel 6.18.8-9.213.amzn2023

RHEL 10.1: kernel 6.12.0-124.45.1.el10_1

SUSE 16: kernel 6.12.0-160000.9-default

Menurut laporan Xint Code, penyebab mendasar celah ini adalah optimasi AEAD in-place yang diperkenalkan ke algif_aead.c pada 2017 (commit 72548b093ee3). Optimasi tersebut membuat halaman cache hasil splice() ditempatkan ke dalam daftar tersebar yang dapat ditulis, dan bersama dengan operasi penulisan sementara dari pembungkus AEAD authenticsn membentuk jalur eksploitasi yang dapat digunakan.

Jadwal Koordinasi Pengungkapan dan Langkah Perbaikan

Menurut jadwal pengungkapan yang dirilis Xint Code pada 29 April, CVE-2026-31431 dilaporkan ke tim keamanan kernel Linux pada 23 Maret 2026. Patch (a664bf3d603d) selesai ditinjau pada 25 Maret, dikirim ke kernel utama pada 1 April, CVE secara resmi diberikan pada 22 April, dan pada 29 April dilakukan pengungkapan publik.

Menurut laporan Xint Code, langkah perbaikannya meliputi: memperbarui paket perangkat lunak kernel pada distribusi yang terdampak (distribusi arus utama seharusnya merilis patch ini melalui pembaruan kernel normal). Jika perlu mitigasi segera, dapat memblokir pembuatan socket AF_ALG melalui seccomp, atau menjalankan perintah berikut untuk memasukkan modul algif_aead ke daftar hitam: echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf.

Menurut laporan Xint Code, celah ini juga memengaruhi skenario lintas batas antar-kontainer karena halaman cache dibagikan oleh host; dampak terkait escape kontainer Kubernetes akan diungkap pada bagian kedua.

Pertanyaan yang Sering Diajukan

Apa ruang lingkup dampak CVE-2026-31431?

Menurut laporan Xint Code pada 29 April dan peringatan dari SlowMist 23pds pada 30 April, CVE-2026-31431 berdampak pada hampir semua distribusi Linux arus utama yang dirilis sejak 2017, termasuk Ubuntu, Amazon Linux, RHEL, dan SUSE. Naskah Python 732 byte dapat memperoleh hak akses root tanpa memerlukan hak istimewa.

Apa metode mitigasi sementara untuk celah ini?

Menurut laporan Xint Code pada 29 April, dapat memblokir pembuatan socket AF_ALG melalui seccomp, atau menjalankan echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf untuk memasukkan modul algif_aead ke daftar hitam guna mitigasi segera.

Kapan patch untuk CVE-2026-31431 dirilis?

Menurut jadwal pengungkapan yang dirilis Xint Code pada 29 April, patch (a664bf3d603d) dikirim ke kernel utama Linux pada 1 April 2026. Distribusi arus utama harus merilis patch ini melalui pembaruan paket perangkat lunak kernel yang normal.