Copy Fail – CVE-2026-31431：僅需 732 位元組即可獲取 Root 權限

背景

資安研究團隊 Xint Code 近期揭露了一個編號為 CVE-2026-31431 的重大 Linux 核心漏洞，並將其命名為「Copy Fail」。該漏洞源於 2017 年核心針對加密 API（AF_ALG）所做的效能優化錯誤，允許本地普通用戶在不具備特殊權限的情況下，透過僅 732 位元組的攻擊程式碼，在數秒內取得系統 Root 最高權限。此漏洞影響範圍極廣，涵蓋了過去七年間幾乎所有主流 Linux 發行版。

社群觀點

在 Hacker News 的討論中，社群對於此漏洞的嚴重性展現了高度關注，特別是其跨發行版的通用性。許多開發者與系統管理員對該漏洞能輕易突破容器邊界、影響多租戶雲端環境表示擔憂。部分用戶在第一時間於自己的系統上進行測試，證實了該漏洞在未更新的 Ubuntu 等系統上確實有效，能瞬間完成提權。然而，也有使用者指出部分發行版如 Arch Linux 在最新版本中已完成修復，若執行時出現身分驗證錯誤訊息，通常代表補丁已生效。

針對漏洞的命名與行銷方式，社群內出現了兩極的評價。部分留言者批評這種為漏洞取名並建立專屬網站的做法過於「行銷導向」，認為這是 Xint Code 為了推廣其 AI 輔助漏洞掃描工具所做的廣告。但另一派觀點則強力反駁，認為 CVE 編號難以記憶，透過具體的命名如 Heartbleed 或 Log4Shell，能更有效地提醒管理員重視並加速修補進度，這對資安防護具有實質意義。

此外，關於攻擊技術細節也引發了深入討論。有用戶擔心執行來源不明的攻擊腳本會對系統造成永久性損害，但隨即有技術背景的網友澄清，該漏洞主要是利用記憶體分頁快取的特性，在記憶體中暫時篡改 SUID 程式（如 /usr/bin/su）的行為，而非永久修改硬碟上的二進位檔案。這也再次引發了社群對於 SUID 機制安全性的老調重彈，認為這類機制長期以來一直是本地提權攻擊的溫床，發行版應考慮更安全的替代方案。

最後，一些資深系統管理員分享了防禦見解。他們認為除了被動等待發行版更新核心外，主動防禦機制如 seccomp 限制系統調用，或是直接停用不必要的內核模組（如本案中的 algif_aead），才是應對這類「零日漏洞」的根本之道。對於 Android 系統是否受影響，社群則傾向認為 Android 較為安全，因為其系統分區通常為唯讀，且缺乏傳統 Linux 的 SUID 權限機制。

延伸閱讀

• Xint Code 官方技術部落格：提供更深入的根因分析、架構圖解以及發現該漏洞的 AI 提示詞過程。 (https://xint.io/blog/copy-fail-linux-distributions)
• Debian 安全追蹤器：可查詢該漏洞在 Debian 各版本中的修補進度。 (https://security-tracker.debian.org/tracker/CVE-2026-31431)
• Ubuntu 安全通告：針對 Ubuntu 用戶的修補資訊與受影響版本清單。 (https://ubuntu.com/security/CVE-2026-31431)
• GitHub 漏洞追蹤頁面：包含 PoC 腳本與相關技術討論。 (https://github.com/theori-io/copy-fail-CVE-2026-31431)