Уведомление о безопасности — CVE-2026-31431: анализ, область применения и план устранения уязвимости

Это информационное уведомление относительно уязвимости CVE-2026-31431, известной как «Copy Fail». Она представляет собой одну из наиболее распространенных уязвимостей ядра Linux за последние годы, потенциально влияющую на глобальную экосистему Linux. Об этой уязвимости было сообщено 29 апреля 2026 года.

Наша команда безопасности подтвердила это в день публикации и немедленно начала необходимые расследования.

Эта уязвимость, расположенная в криптографической подсистеме ядра (через интерфейс AF_ALG), позволяет осуществить локальное повышение привилегий (LPE). На стандартном сервере она позволяет стандартному пользователю стать root (администратором). В контейнеризированной среде (например, Docker или Kubernetes) она позволяет контейнеру получить контроль над хост-узлом.

Поскольку безопасность вашей инфраструктуры является нашим приоритетом, ниже приведена подробная информация о влиянии этой уязвимости на ваши сервисы Scaleway и рекомендации по ее устранению.

Действия, предпринятые Scaleway
После обнаружения этой уязвимости наши команды приняли необходимые меры для обеспечения безопасности среды и предоставления чистых образов:

В Kubernetes Kapsule: Развернуты новые образы ОС, отключающие модуль algif_aead: Любой новый узел, созданный после 30 апреля 2026 г., 14:20 CEST, будет автоматически использовать версию с исправлением. (Вы можете проверить дату выпуска используемой версии в поле OS-IMAGE, возвращаемом командой kubectl get node -o wide).

Оценка риска: Многопользовательская среда против изолированной среды
Срочность применения исправлений сильно зависит от ваших моделей использования и архитектуры ваших сервисов:

Многопользовательская / Общая среда (высокая степень серьезности): Если ваши машины или кластеры Kapsule размещают приложения от разных клиентов, предоставляют доступ к командной оболочке нескольким пользователям или выполняют непроверенный сторонний код, эта уязвимость является критической. Злоумышленник с ограниченным доступом (стандартный пользователь или доступ к поду) может использовать эту уязвимость для получения полного контроля над сервером (доступ root) и компрометации данных других арендаторов в системе.

Однопользовательская/изолированная среда (умеренная степень опасности): Если ваши серверы или кластеры предназначены исключительно для вашего собственного использования и запускают только доверенные приложения, код которых вы контролируете (без возможности локального доступа или произвольного выполнения третьими лицами), риск значительно ниже. Для использования уязвимости действительно требуется предварительное локальное выполнение кода.

Необходимые действия и временные меры
Постоянное решение — обновить ядро ​​вашей системы, как только станет доступна версия, включающая патч. Мы рекомендуем регулярно проверять наличие патча для вашей конкретной ОС.

Меры по смягчению последствий (временное решение):
Если немедленная перезагрузка или обновление невозможны, вы можете применить временные меры по смягчению последствий непосредственно на затронутых узлах и серверах, чтобы заблокировать уязвимый интерфейс. Выполните следующие команды с правами администратора (root или sudo):

# Create a rule to prevent their automatic reloading

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf



# Unload the vulnerable module from memory

rmmod algif_aead 2>/dev/null || true

For servers based on RedHat / CentOS / AlmaLinux / RockyLinux:

# Create a rule to prevent the module from loading automatically on boot

grubby --update-kernel=ALL --args=initcall_blacklist=algif_aead_init



# Completely reboot the system to apply the modification

For Kubernetes Kapsule, this operation must be performed on the worker nodes, for example via SSH access or by deploying a privileged DaemonSet:

apiVersion: apps/v1

kind: DaemonSet

metadata:

  name: disable-algif-aead

  namespace: kube-system

  labels:

    app: disable-algif-aead

spec:

  selector:

    matchLabels:

      app: disable-algif-aead

  template:

    metadata:

      labels:

        app: disable-algif-aead

    spec:

      hostPID: true

      tolerations:

        - operator: Exists

          effect: NoSchedule

        - operator: Exists

          effect: NoExecute

      initContainers:

        - name: disable-algif-aead

          image: alpine:3.23

          securityContext:

            privileged: true

          command:

            - /bin/sh

            - -c

            - |

              echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

              rmmod algif_aead 2>/dev/null || true

          volumeMounts:

            - name: modprobe-d

              mountPath: /etc/modprobe.d

      containers:

        - name: pause

          image: registry.k8s.io/pause:3.10

          resources:

            limits:

              cpu: 1m

              memory: 8Mi

      volumes:

        - name: modprobe-d

          hostPath:

            path: /etc/modprobe.d

Откат: Команды повторной активации
Отключение af_alg не влияет на подавляющее большинство стандартных приложений. Однако, если некоторым вашим сервисам требуется криптографическое ускорение, предоставляемое этой подсистемой (и вы наблюдаете сбои), вы можете отменить это решение в любое время с помощью следующих команд:
# Удаление блокирующего файла

sudo rm /etc/modprobe.d/disable-algif.conf

# Ручная перезагрузка модуля в ядро

sudo modprobe algif_aead

Мы остаемся в полном распоряжении для предоставления любой дополнительной информации или технической помощи через консоль.

Команда Scaleway.