Linux çekirdeğinde yeni ortaya çıkan “Copy Fail” (CVE-2026-31431) açığı, sıradan bir yerel kullanıcıyı saniyeler içinde root yetkisine çıkartabiliyor. Açığı Theori’nin araştırma ekibi, Xint Code adlı yapay zekâ destekli tarama aracıyla buldu. Hatanın kökü, IPsec’te kullanılan authencesn şablonundaki mantık hatası; AF_ALG soketleri ve splice zinciriyle birleşince, sadece okunabilen herhangi bir dosyanın sayfa önbelleğine kontrollü 4 bayt yazmayı mümkün kılıyor. Bu sayede /usr/bin/su gibi setuid ikili dosyanın bellekteki kopyası anlık olarak manipüle edilip kök erişim alınabiliyor. Açık yarış koşuluna dayanmıyor, tek hat üzerinden tutarlı şekilde çalışıyor. Açık 29 Nisan 2026’da duyuruldu; yamalar ana dala 1 Nisan 2026’da girdi. CVSS puanı 7.8.
Araştırmacılar, yalnızca 732 baytlık, standart Python kütüphaneleriyle yazılmış bir betikle Ubuntu 24.04 LTS’te, Amazon Linux 2023’te, RHEL 10.1’de ve SUSE 16’da root yetkisi alabildi. Aynı betik mimari ve dağıtım fark etmeksizin çalıştığı için yönetim araçları ve geleneksel dosya bütünlüğü kontrolleri (diske yazılmadığı için) bu müdahaleyi yakalayamıyor. Paylaşılan çekirdek kullanan ortamlarda sayfa önbelleği konteynerlar arasında ortak olduğundan, açık bir konteyner kaçışı ilkelini de sağlıyor.
Etki kapsamı geniş: 2017’den bu yana derlenen çekirdekleri kullanan hemen her ana akım Linux dağıtımı risk altında. Fix, algif_aead’in 2017’de eklenen “in-place” optimizasyonunu geri alarak kaynak ve hedef bellek alanlarını tekrar ayırıyor. 1 Mayıs 2026 itibarıyla üst akışta düzeltme mevcut; birçok dağıtım yamayı yeni yeni paketlerine taşıyor, bazıları ise test derlemelerini toplulukla paylaşıyor.
Ne yapmalı?
- Çekirdeği güncelleyin: Dağıtımınızın Copy Fail düzeltmesini içeren kernel paketine geçin. Üst akış yama 1 Nisan 2026’da ana dala alındı.
- Geçici önlem: Patch gelene kadar algif_aead modülünü devre dışı bırakın veya AF_ALG soket oluşturmayı seccomp ile engelleyin. Çoğu sistemde işlevsel etkisi yok ya da sınırlı.
- Önceliklendirme: Çok kullanıcılı sunucular, Kubernetes düğümleri, CI/CD runner’ları ve müşteri kodu çalıştıran SaaS altyapıları ilk sırada yamalanmalı.
- İzleme: Diske yazılmadığı için klasik dosya bütünlüğü denetimleri bu tekniği kaçırabilir. Çalışma zamanı davranış tespiti ve çekirdek olayı gözlemiyle tamamlayın.
Özetle, Copy Fail yıllardır gözden kaçmış bir tasarım uyumsuzluğunun birleşiminden doğuyor ve çok az önkoşulla kök yetkisi veriyor. Yamanın sistemlere yayılması sürerken, AF_ALG yüzeyini kapatmak ve riskli düğümleri acilen güncellemek en hızlı savunma adımları.
Kaynak: www.techspot.com