CopyFail - CVE-2026-31431

Title: Copy Fail: 732 Bytes to Root on Every Major Linux Distributions

• Copy Fail（CVE-2026-31431）は、Linuxカーネルのauthencesn暗号化テンプレートに存在する致命的な脆弱性で、権限のないローカルユーザーがroot権限を取得できるようにします。732バイトのエクスプロイトでsetuidバイナリを改変し、Ubuntu、Amazon Linux、RHEL、SUSEなどの主要なLinuxディストリビューションでroot権限を得ることができます。
• この脆弱性は、ページキャッシュページが書き込み可能なscatterlistに配置されるロジックエラーに起因しており、これにより読み取り可能なあらゆるファイルのページキャッシュに対して制御された4バイト書き込みが可能になります。これは通常の書き込み経路を迂回するため、ディスク上のチェックサムは変更されないままとなり、エクスプロイトを秘匿的に実行できます。
• エクスプロイトはAF_ALGソケットタイプとsplice()システムコールを利用して、ページキャッシュページを暗号サブシステムに渡します。その後、authencesnアルゴリズムの実装が、意図された出力バッファを超えてこれらのページキャッシュページにデータを書き込みます。
  このバグはディストリビューションやアーキテクチャ全体で高い移植性を持ち、最小限のコード（短いPythonスクリプト）だけを必要とし、さらにページキャッシュがシステム全体で共有されるため、コンテナを脱出できる可能性もあります。
• 根本原因は、AF_ALG AEADサポート、ページキャッシュページを露出させるsplice()経路、そして特に2017年のインプレース（in-place）最適化以降にauthencesnが対象バッファをスクラッチ領域として使用する方式が組み合わさったことにあります。
  エクスプロイトは/usr/bin/suのような一般的なsetuidバイナリを標的にします。バイナリの一部をシェルコードで上書きし、破損したページキャッシュからそのバイナリがロードされた際にroot権限で実行されるようにします。
• メインラインカーネルに適用された修正では、AF_ALG AEADをout-of-place処理に戻し、ソースとターゲットのscatterlistを実質的に分離することで、連結されたページキャッシュページへの書き込み機能を排除しました。
  対処方法には、カーネルパッチやディストリビューションのパッケージ更新が含まれ、即時の緩和策としては、seccompを通じてAF_ALGソケットの作成をブロックするか、algif_aeadモジュールをブラックリストに追加する方法があります。
• この脆弱性は、TheoriのTaeyang Leeによる初期の洞察を基に、AI支援セキュリティ研究ツールを使用したXint Code研究チームによって発見されました。