CVE-2026-31431：Copy Fail 漏洞與無根容器的防禦分析

背景

本文探討了編號為 CVE-2026-31431 的 Linux 核心漏洞「Copy Fail」，該漏洞源於核心處理 scatterlist 機制時的缺陷，允許攻擊者將惡意代碼寫入唯讀的頁面快取（Page Cache）。作者透過實驗驗證，在 rootless Podman 容器環境中執行該漏洞利用程式時，雖然攻擊者能成功篡改 /usr/bin/su 並在容器內取得 root 權限，但受限於使用者命名空間（User Namespace）的映射機制，這種權限提升無法直接擴散至宿主機。

社群觀點

針對作者認為 rootless 容器能有效遏制此漏洞的觀點，Hacker News 社群展開了激烈的辯論。部分討論者首先對文章的時效性提出質疑，指出這並非新發現的漏洞，而是針對已知漏洞在特定架構下的防禦行為進行記錄。對於技術細節，有留言者對「ELF golfing」這類極限壓縮二進位檔的技巧表示驚嘆，認為這種透過移除節區標頭（Section Headers）來縮減體積的手法在漏洞利用中相當精巧。

然而，資深開發者與安全研究員對作者的樂觀態度提出了嚴厲批評。核心觀點在於，雖然 rootless 容器將容器內的 root 映射為宿主機的普通使用者，從而阻止了直接的宿主機權限提升，但「Copy Fail」的核心威脅在於對頁面快取的寫入能力。這意味著如果多個容器共享同一個基礎映像檔層（Image Layer），攻擊者在一個容器中篡改的二進位檔，會因為核心優化機制（如相同的 inode 與記憶體位址空間）而影響到其他容器。這種「跨租戶隔離」的崩潰，使得惡意程式能輕易滲透到同一宿主機上的其他工作負載。

更有評論指出，該漏洞的原始研究者早已明確表示這是一個潛在的容器逃逸手段。只要攻擊者能鎖定宿主機也會執行的特定執行檔進行掛鉤（Hooking），就能跨越邊界。社群普遍認為，僅僅依靠 rootless 容器來防禦此類核心層級的漏洞是不負責任的，因為攻擊者仍可透過寫入零頁（Zero Page）或唯讀掛載點來造成不可預知的破壞。雖然作者提到可以透過 eBPF 攔截 DNS 查詢或轉向微型虛擬機器（microVMs）來強化安全性，但反對者認為，只要攻擊者直接使用 IP 位址或利用共享層的特性，現有的容器隔離機制在面對頁面快取污染時依然顯得脆弱。

延伸閱讀

在討論中，參與者提到了幾項值得關注的技術與資源。首先是 Theori 團隊在 xint.io 網誌上發布的原始技術分析，詳細解釋了 scatterlist 的運作原理與漏洞成因。此外，留言中也提及了 CargoWall，這是一個用於 GitHub Actions 的安全工具，能透過監控與限制網路行為來防止惡意程式外洩憑證。對於希望進一步強化隔離的開發者，社群建議研究 ephemeral microVMs（如 Firecracker）作為比傳統容器更安全的替代方案。