Это информационное уведомление относительно уязвимости CVE-2026-31431, известной как «Copy Fail». Она представляет собой одну из наиболее распространенных уязвимостей ядра Linux за последние годы, потенциально влияющую на глобальную экосистему Linux. Об этой уязвимости было сообщено 29 апреля 2026 года.
Наша команда безопасности подтвердила это в день публикации и немедленно начала необходимые расследования.
Эта уязвимость, расположенная в криптографической подсистеме ядра (через интерфейс AF_ALG), позволяет осуществить локальное повышение привилегий (LPE). На стандартном сервере она позволяет стандартному пользователю стать root (администратором). В контейнеризированной среде (например, Docker или Kubernetes) она позволяет контейнеру получить контроль над хост-узлом.
Поскольку безопасность вашей инфраструктуры является нашим приоритетом, ниже приведена подробная информация о влиянии этой уязвимости на ваши сервисы Scaleway и рекомендации по ее устранению.
Действия, предпринятые Scaleway
После обнаружения этой уязвимости наши команды приняли необходимые меры для обеспечения безопасности среды и предоставления чистых образов:
В Kubernetes Kapsule: Развернуты новые образы ОС, отключающие модуль algif_aead: Любой новый узел, созданный после 30 апреля 2026 г., 14:20 CEST, будет автоматически использовать версию с исправлением. (Вы можете проверить дату выпуска используемой версии в поле OS-IMAGE, возвращаемом командой kubectl get node -o wide).
Оценка риска: Многопользовательская среда против изолированной среды
Срочность применения исправлений сильно зависит от ваших моделей использования и архитектуры ваших сервисов:
Многопользовательская / Общая среда (высокая степень серьезности): Если ваши машины или кластеры Kapsule размещают приложения от разных клиентов, предоставляют доступ к командной оболочке нескольким пользователям или выполняют непроверенный сторонний код, эта уязвимость является критической. Злоумышленник с ограниченным доступом (стандартный пользователь или доступ к поду) может использовать эту уязвимость для получения полного контроля над сервером (доступ root) и компрометации данных других арендаторов в системе.
Однопользовательская/изолированная среда (умеренная степень опасности): Если ваши серверы или кластеры предназначены исключительно для вашего собственного использования и запускают только доверенные приложения, код которых вы контролируете (без возможности локального доступа или произвольного выполнения третьими лицами), риск значительно ниже. Для использования уязвимости действительно требуется предварительное локальное выполнение кода.
Необходимые действия и временные меры
Постоянное решение — обновить ядро вашей системы, как только станет доступна версия, включающая патч. Мы рекомендуем регулярно проверять наличие патча для вашей конкретной ОС.
Меры по смягчению последствий (временное решение):
Если немедленная перезагрузка или обновление невозможны, вы можете применить временные меры по смягчению последствий непосредственно на затронутых узлах и серверах, чтобы заблокировать уязвимый интерфейс. Выполните следующие команды с правами администратора (root или sudo):
# Create a rule to prevent their automatic reloading
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
# Unload the vulnerable module from memory
rmmod algif_aead 2>/dev/null || true
For servers based on RedHat / CentOS / AlmaLinux / RockyLinux:
# Create a rule to prevent the module from loading automatically on boot
grubby --update-kernel=ALL --args=initcall_blacklist=algif_aead_init
# Completely reboot the system to apply the modification
For Kubernetes Kapsule, this operation must be performed on the worker nodes, for example via SSH access or by deploying a privileged DaemonSet:
apiVersion: apps/v1
kind: DaemonSet
metadata:
name: disable-algif-aead
namespace: kube-system
labels:
app: disable-algif-aead
spec:
selector:
matchLabels:
app: disable-algif-aead
template:
metadata:
labels:
app: disable-algif-aead
spec:
hostPID: true
tolerations:
- operator: Exists
effect: NoSchedule
- operator: Exists
effect: NoExecute
initContainers:
- name: disable-algif-aead
image: alpine:3.23
securityContext:
privileged: true
command:
- /bin/sh
- -c
- |
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
rmmod algif_aead 2>/dev/null || true
volumeMounts:
- name: modprobe-d
mountPath: /etc/modprobe.d
containers:
- name: pause
image: registry.k8s.io/pause:3.10
resources:
limits:
cpu: 1m
memory: 8Mi
volumes:
- name: modprobe-d
hostPath:
path: /etc/modprobe.d
Откат: Команды повторной активации
Отключение af_alg не влияет на подавляющее большинство стандартных приложений. Однако, если некоторым вашим сервисам требуется криптографическое ускорение, предоставляемое этой подсистемой (и вы наблюдаете сбои), вы можете отменить это решение в любое время с помощью следующих команд:
# Удаление блокирующего файла
sudo rm /etc/modprobe.d/disable-algif.conf
# Ручная перезагрузка модуля в ядро
sudo modprobe algif_aead
Мы остаемся в полном распоряжении для предоставления любой дополнительной информации или технической помощи через консоль.
Команда Scaleway.
