Copy Fail Açıklaması ve Önemi
2017’den bu yana yayımlanan Linux çekirdeklerini etkileyen “Copy Fail” olarak adlandırılan yerel ayrıcalık yükseltme açığı, yetkisiz bir saldırgana root yetkileri kazandırma potansiyeline sahiptir. Bu güvenlik açığı CVE-2026-31431 kodu ile takip ediliyor ve Theori adlı siber güvenlik şirketi tarafından keşfedildi.
Saldırı Nasıl Çalışıyor?
Theori, Copy Fail (CVE-2026-31431) açığının, Linux çekirdeğinin şifreleme sistemindeki “mantık hatası” nedeniyle oluştuğunu belirtmiştir. Bu açık, kimlik doğrulaması yapılmış bir kullanıcının, sistemdeki okunabilir bir dosyanın sayfa önbelleğine güvenilir bir şekilde “4 bayt yazma” işlemi yapmasına olanak tanır.
- Bu saldırı, kullanıcı alanından Linux çekirdek şifreleme işlevlerine erişim sağlayan AF_ALG soket tabanlı arayüzü ile splice() sistem çağrısının bir kombinasyonunu kullanır.
- Uygulayıcı, normal bir tampon yerine dosyanın sayfa önbelleğine kontrol altında 4 bayt yazabilir.
- Yazılan bu baytlar, bir setuid-root ikili dosyasına denk gelirse, saldırganın kök yetkilerine erişimini sağlayabilir.
Etkilenen Sistemler
Theori’nin kanıtı, her biri farklı Linux dağıtımlarında test edilmiştir:
- Ubuntu 24.04 LTS
- Amazon Linux 2023
- RHEL 10.1
- SUSE 16
Copy Fail, “Dirty Pipe” zafiyetine göre daha güvenilir ve daha geniş bir istismar potansiyeline sahiptir.
Çözüm ve Korunma
CVE-2026-31431 için düzeltmeler 1 Nisan tarihinde, sorunlu “yerinde” şifreleme davranışı geri alınarak yapıldı. Düzeltmeler 6.18.22, 6.19.12 ve 7.0 sürümlerinde mevcut hale geldi.
Büyük Linux dağıtımları zaten düzeltmeleri çekirdek güncellemeleri ile uygulamaktadır. Ancak, yazar Will Dormann, CVE-2026-31431 için resmi güncellemeler bulunmadığını vurgulamaktadır.
Güncellemeleri henüz almayanlar için önerilen geçici bir önlem, etkilenmiş şifreleme arayüzünü devre dışı bırakmaktır:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead
Theori araştırmacıları, çok kiracılı Linux sunucuları, Kubernetes/konteyner kümeleri, CI çalıştırıcıları ve kullanıcı kodu çalışan bulut SaaS gibi sistemlerde bu güncellemelerin öncelikle uygulanmasını önermektedir.
Sonuç
Tüm kullanıcılar, kullandıkları Linux dağıtımlarını güncelleyerek CVE-2026-31431 zafiyetine karşı savunma önlemleri almalıdır. Güncellemeleri kontrol edin ve mümkünse önerilen geçici önlemleri uygulayın. Güvenlik açığı hakkında daha fazla bilgi almak için resmi kaynakları takip edin.
