Foi descoberta e corrigida uma falha no linux kernel de elevação de privilégios, representada pelo CVE-2026-31431. Um utilizador local sem privilégios consegue corromper a page cache de binários setuid e obter acesso root ou de sistema, sendo que a falha está presente em todas as distribuições enterprise, de 2017 até à data.

Versões afetadas:

Linux kernel 4.14 até 7.0-rc, todos os 6.18.x antes de 6.18.22, e 6.19.x antes de 6.19.12. Existem exploits funcionais para Ubuntu 24.04, Amazon Linux 2023, RHEL 10.1 e SUSE 16 (à data de escrita).

Correção

Debian, Ubuntu e SUSE já lançaram patches (verificar nas referências)

Como nota de mitigação/correção, o principal passa por aplicar a atualização de kernel que reverte a otimização algif_aead introduzida em 2017. Enquanto os vendors distribuem patches, é recomendável mitigar o risco bloqueando o módulo algif_aead via modprobe e removendo-o do kernel em execução. Para workloads não confiáveis, também é aconselhado restringir a criação de sockets AF_ALG usando seccomp.

Referências:

• Portal da redhat: https://access.redhat.com/security/vulnerabilities/RHSB-2026-02

• Portal da Debian: https://security-tracker.debian.org/tracker/CVE-2026-31431

• CloudLinux: https://blog.cloudlinux.com/cve-2026-31431-copy-fail-mitigation-and-patches

• Medidas de mitigação para equipas de resposta a incidentes: https://socprime.com/active-threats/cve-2026-31431-copy-fail-linux-root-escalation/