一、目的與漏洞說明
近期 Linux Kernel 被揭露一項本機權限提升漏洞 Copy Fail(CVE-2026-31431)。此漏洞存在於 Linux 核心加密相關功能中,可能讓已經取得主機一般使用者權限的攻擊者,進一步提升為 root 權限,造成主機遭完整控制。
此漏洞並非單純從網路遠端直接攻擊主機的漏洞;攻擊者通常需要先能在主機上執行程式,例如已取得 SSH 一般帳號、入侵網站後取得 Web Service 權限、控制 CI/CD Runner,或能在容器環境中執行惡意程式。若攻擊成功,攻擊者可能取得 root 權限,進而讀取、竄改或刪除系統檔案與敏感資料。
根據 CERT-EU 與多個資安單位說明,Copy Fail 影響範圍並不限於特定 Linux 發行版,而是與 Linux Kernel 自 2017 年導入的相關程式邏輯有關;因此,多數使用 2017 年以後 Linux Kernel 的主流 Linux 發行版皆可能受影響,包含 Ubuntu、Debian、Red Hat Enterprise Linux、Rocky Linux、AlmaLinux、SUSE、Amazon Linux 等。實際是否受影響與修補方式,仍應以各作業系統供應商發布的安全性公告與更新套件為準。
二、哪些主機需要進行處理?
請各單位盤點並處理所有 Linux 主機,尤其是下列類型主機應優先修補:
- 對 Internet 開放服務的 Linux 主機,例如 Web Server、API Server 等。
- 可供多人登入或共用的 Linux 主機,例如教學主機、研究室共用主機、開發測試主機。
- 容器、虛擬化與自動化建置相關主機,例如 Docker / Podman 宿主機、Kubernetes Node、GitLab Runner、Jenkins Agent 等。
- 重要業務系統、資料庫主機、檔案服務主機或存放敏感資料的 Linux 主機。
三、處理方式
方式一:根本性修正,更新 Kernel 並重新開機
請優先採用此方式。以下以 Ubuntu 為例,其餘 Linux 發行套件可依「四、各 Linux 發行版公告」參考官方修正指引:
sudo apt update
sudo apt full-upgrade
sudo reboot
更新完成後,請確認系統已載入更新後的 Kernel:
uname -r
請注意,Linux Kernel 更新後必須重新開機才會生效。若僅完成套件更新但尚未重新開機,系統仍可能執行舊版 Kernel,風險並未完全排除。
方式二:臨時性緩解,停用 algif_aead 模組
若主機短時間內無法完成 Kernel 更新或無法立即重新開機,可先停用受影響的 algif_aead 模組作為臨時性緩解措施。
echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif-aead.conf
sudo rmmod algif_aead 2>/dev/null || true
lsmod | grep algif_aead
若 lsmod | grep algif_aead 沒有任何輸出,表示目前模組未載入。
請注意,此方式僅為暫時性緩解,仍應於後續維護時段完成 Kernel 更新並重新開機。若 algif_aead 已載入且無法卸載,則需重新開機後再確認模組是否已停用。
四、各 Linux 發行版的公告
五、注意事項
- 請勿在正式主機上執行網路上取得的 PoC 或 exploit 程式。
- 即使是用於檢測,也可能造成系統異常、權限遭濫用,或程式本身被植入惡意行為。
- 是否受影響應以官方套件更新狀態為準。
- 不建議單純依據網路文章或非官方檢測腳本判斷。
- 更新 Kernel 後務必重開機。
- 若只更新套件但未重新開機,系統仍可能執行舊核心。
- 容器不是完整隔離邊界。
- 容器環境共用宿主機 Linux Kernel,因此宿主機 Kernel 漏洞可能影響所有容器工作負載。
- 若系統已停止維護或版本過舊,應評估升級或汰換。
- EOL 系統可能無法取得完整安全性修補。
六、參考資料
- iThome:Linux系統核心存在高風險漏洞Copy Fail,本機使用者能藉此奪取root權限,廣泛影響多個主流Linux版本
- https://www.ithome.com.tw/news/175481
- Copy Fail – CVE-2026-31431
- https://copy.fail/