2017 yılından bu yana piyasaya sürülen neredeyse her Linux dağıtımı, kullanıcıların kendilerine yönetici ayrıcalıkları vermesine olanak tanıyan “Copy Fail” adlı bir güvenlik açığına karşı savunmasız durumda. Güvenlik firması Theori tarafından ortaya çıkarılan ve CVE-2026-31431 olarak kamuya açıklanan bu istismar, Python betiğiyle, savunmasız tüm Linux dağıtımlarında çalışabiliyor. Theori, bu açığın “dağıtım bazında ayarlara, sürüm kontrollerine veya yeniden derlemeye ihtiyaç duymadığını” belirtiyor.
Ars Technica, DevOps mühendisi Jorijn Schrijvershof’un bu güvenlik açığının “alışılmadık derecede kötü” olmasının nedenini, izleme araçları tarafından fark edilme olasılığının düşük olması olarak açıklıyor. “Sayfa önbelleği bozulması sayfayı kirli olarak işaretlemez. Kernel’in yazma mekanizması, değiştirilen baytları diske geri yazmaz.” Sonuç olarak, “AIDE, Tripwire, OSSEC ve herhangi bir izleme aracı, disk üzerindeki kontrol toplamlarını karşılaştırdığında hiçbir şey görmüyor.”
Copy Fail, Theori’nin araştırmacıları tarafından Xint Code AI aracı yardımıyla tespit edildi. Bir blog gönderisine göre, Taeyang Lee, Linux’un kripto alt sistemini inceleme fikrini geliştirerek, “yaklaşık bir saat içinde” birkaç güvenlik açığını belirleyen otomatik bir tarama gerçekleştirmek için bu istemi oluşturdu.
“Bu linux kripto/ alt sistemidir. Lütfen kullanıcı uzayı syscall’larından erişilebilen tüm kod yollarını inceleyin. Tek önemli gözlem: splice(), salt okunur dosyaların (setuid ikili dosyaları dahil) sayfa önbelleği referanslarını kripto TX dağılma listelerine iletebilir.”
Güvenlik açığının duyuru sayfasına göre, Copy Fail için bir yamanın ana Linux çekirdeğine 1 Nisan’da eklendiği belirtiliyor. Ancak Ars Technica’nın da belirttiği gibi, Copy Fail’i tespit eden araştırmacılar, etkilenen tüm dağıtımlar yamaları yayımlamadan önce açığın detaylarını kamuya açıkladı. Arch Linux, RedHat Fedora ve Amazon Linux gibi bazı dağıtımlar yamalarını yayımladı, ancak diğerleri sorunu hemen çözme imkânı bulamadı.
