Casi todas las distribuciones de Linux lanzadas desde 2017 son actualmente vulnerables a un error de seguridad llamado “Copia fallida” que permite a cualquier usuario otorgarse privilegios de administrador. Explotación, divulgado al público Al igual que el CVE-2026-31431 del miércoles, utiliza un script Python que funciona en todas las distribuciones de Linux vulnerables y no requiere “compensación por distribución, verificación de versión ni recompilación”, según Theori, la compañía de seguridad que lo reveló.
Ars Teknika muéstrame esta publicación de blog donde el ingeniero de DevOps Jorijn Schrijvershof explicar que lo que hace que Copy Fail sea “tan malo” es su probabilidad de pasar desapercibido para las herramientas de monitoreo: “La corrupción de la caché de la página nunca marca la página como sucia. El motor de reescritura del kernel nunca devuelve bytes modificados al disco”. Como resultado, “AIDE, Tripwire, OSSEC y cualquier herramienta de monitoreo que compare sumas de verificación en el disco no ven nada”.
Copy Fail fue identificado por investigadores de Theori con la ayuda de su herramienta Xint Code AI. De acuerdo a a la publicación del blogTaeyang Lee tuvo la idea de observar el subsistema criptográfico de Linux y creó este comando para ejecutar un análisis automatizado que identificó varias vulnerabilidades en “aproximadamente una hora”.
“Este es un subsistema/cripto de Linux. Verifique todas las rutas de código a las que se puede acceder desde las llamadas al sistema del espacio de usuario. Tenga en cuenta una observación importante: splice() puede pasar referencias de caché de página desde archivos de solo lectura (incluidos los binarios setuid) a la lista de dispersión criptográfica TX”.
Según la página de divulgación de exploits, el 1 de abril se agregó un parche para Copy Fail al kernel principal de Linux. Ars Teknika Tenga en cuenta que los investigadores que identificaron Copy Fail publicaron los detalles del exploit públicamente antes de que todas las distribuciones afectadas pudieran lanzar parches para el exploit. Varias distribuciones, incluidas Arco de Linux, sombrero rojo fedoraY AmazonLinuxha lanzado un parche, pero muchos otros parches no solucionan el problema de inmediato.
