Lỗ hổng bảo mật Copy Fail, được mã hiệu hóa là CVE-2026-31431, là một trong những lỗ hổng mới được phát hiện trên hệ điều hành Linux gần đây. Được phân loại là một lỗ hổng nghiêm trọng, Copy Fail có khả năng tạo ra nguy cơ cho hệ thống máy tính và dữ liệu trên nó. Lỗi này có thể được tin tặc tận dụng để có quyền truy cập không được ủy quyền vào hệ thống và có thể đọc hoặc thậm chí sửa đổi dữ liệu. Điều đáng lo ngại là Copy Fail có thể ảnh hưởng đến các ứng dụng và dữ liệu quan trọng trên hệ thống Linux, gây ra những hậu quả không lường trước được.

 

Thông tin lỗi bảo mật (CVE-2026-31431) - Copy Fail

Vào ngày 29 tháng 4 năm 2026, nhóm nghiên cứu bảo mật Theori (thông qua công cụ Xint Code) đã công bố lỗ hổng CVE-2026-31431, được đặt tên là Copy Fail. Đây là lỗ hổng leo thang đặc quyền cục bộ (Local Privilege Escalation — LPE) trong nhân Linux, ảnh hưởng toàn bộ các bản phân phối lớn được phát hành kể từ năm 2017.

Với lỗi bảo mật này, một người dùng (user) thông thường có thể root chỉ với một đoạn mã khai thác Python 732 byte . Mã khai thác đã được công khai trên Internet và được xác nhận hoạt động 100% trên mọi phiên bản Linux phát hành từ năm 2017 đến nay.

 

Tại sao Copy Fail lại nguy hiểm hơn

Lỗi bảo mật	Dirty Cow (2016)	Dirty Pipe (2022)	Copy Fail (2026)
Khai thác	Race condition	Pipe buffer	Logic thẳng
Độ tin cậy	Không ổn định	Trung bình	100% ổn định
Phiên bản	Đặc thù	Đặc thù	Tất cả distro
Kích thước Poc	Lớn	Vừa	732 byte

Đặc điểm nổi bật

• Không cần race condition — Khai thác theo đường thẳng, kích hoạt đáng tin cậy 100% mỗi lần chạy
• Cực kỳ portable — Script duy nhất hoạt động trên mọi bản phân phối, không cần biên dịch hay kiểm tra phiên bản
• Vô hình với forensics — Ghi trực tiếp vào page cache (in-memory), không để lại vết trên disk, không bị công cụ giám sát file phát hiện
• Chỉ cần standard library — Sử dụng các module chuẩn của Python 3.10+ (os, socket, zlib), không cần cài thêm thư viện nào
• Đã có trong CISA KEV — Microsoft Defender xác nhận lỗ hổng đã được thêm vào danh sách Known Exploited Vulnerabilities của CISA
   

 

Phạm vi ảnh hưởng

Phiên bản kernel bị ảnh hưởng từ 4.14 (2017) đến 7.0-rc, cụ thể:

Kernel 4.14 → 7.0-rc              # Tất cả
Kernel 6.18.x < 6.18.22           # Trước bản vá
Kernel 6.19.x < 6.19.12           # Trước bản vá
LTS 6.12.x, 6.6.x, 5.15.x, 5.10.x # Backport bị ảnh hưởng

Kiểm tra bằng lệnh: uname -r

Môi trường bị ảnh hưởng:

1. MỨC ĐỘ : CỰC KỲ CAO
   • Shared Hosting (cPanel/ DirectAdmin/ Plesk)
     Nhiều khách hàng cùng chạy trên một kernel. Bất kỳ tài khoản nào cũng có thể leo thang lên root và ảnh hưởng toàn bộ server.
   • Kubernetes / Container đa tenant
     Container chia sẻ kernel host. Workload độc hại trong pod có thể thoát container và chiếm quyền node host.
   • CI/CD runner (GitHub Actions, GitLab CI...)
     Thường chạy code từ pull request bên ngoài. Kẻ tấn công gửi PR độc hại để khai thác runner và leo thang lên host.
      
2. MỨC ĐỘ : CAO
   • Máy chủ database
     Tài khoản dịch vụ database (mysql, postgres) thường có quyền thấp. Copy Fail cho phép leo thang lên root và đọc toàn bộ data.
   • Server có SSH foothold
     Kẻ tấn công đã có tài khoản shell bình thường (qua credential leak, brute force...) dễ dàng leo root.
   • Máy trạm dev Linux
     Developer chạy code từ nguồn không tin cậy (open source, npm packages độc hại) có thể bị khai thác local.
      
3. MỨC ĐỘ : TRUNG BÌNH
   • VPS cá nhân (1 người dùng)
     Rủi ro thấp hơn nếu không chạy dịch vụ public-facing. Nhưng vẫn cần vá vì dịch vụ bị khai thác có thể dẫn đến leo quyền.
   • WSL2 (Windows Subsystem for Linux)
     Có kernel Linux riêng. Exploit hoạt động bên trong môi trường WSL, nhưng bị cô lập với Windows host phần lớn.
   • Embedded Linux / IoT
     Bị ảnh hưởng về mặt kỹ thuật nhưng ít có kịch bản khai thác thực tế do thường không có shell đa người dùng.

 

Phương án xử lý

Giải pháp tạm thời (mitigation nhanh):

1. Bước 1: Vô hiệu hóa module algif_aead :
   echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
    
2. Bước 2: Unload module nếu đã được tải
   rmmod algif_aead 2>/dev/null || true
   Nếu lệnh báo “Resource temporarily unavailable” hoặc “Module is in use”, có nghĩa là có ứng dụng đang dùng, thì tim process đang dùng (lsof | grep AF_ALG) và stop/restart nó.
    
3. Bước 3: Kiểm tra lại bằng lệnh sau
   grep -E '^algif_aead ' /proc/modules && echo "still loaded" || echo "not loaded"
   Đảm bảo kết quả nhận được là not loaded

Lưu ý: Hành động này không ảnh hưởng đến SSH, TLS, LUKS hay OpenSSL thông thường.

 

Giải pháp ưu tiên: Cập nhật kernel

Áp dụng kernel patch chính thức từ nhà cung cấp distro của bạn. Patch revert tối ưu hóa năm 2017 và đã có trong các phiên bản kernel mới (ví dụ: 6.18.22+, 6.19.12+, các LTS tương ứng).
 

Ubuntu:

• Các phiên bản đã cập nhật:
   

Release	Mức độ ảnh hưởng	Kmod đã vá
14.04 Trusty (ESM)	Chỉ kernel 4.15 bị ảnh hưởng (kernel 3.13 và 4.4 không bị ảnh hưởng )	15-0ubuntu7+esm1
16.04 Xenial (ESM)	Chỉ kernel 4.15 bị ảnh hưởng (kernel 4.4 không bị ảnh hưởng)	22-1ubuntu5.2+esm1
18.04 Bionic (ESM)	Bị ảnh hưởng	24-1ubuntu3.5+esm1
20.04 Focal	Bị ảnh hưởng	27-1ubuntu2.1+esm1
22.04 Jammy	Bị ảnh hưởng	29-1ubuntu1.1
24.04 Noble	Bị ảnh hưởng	31+20240202-2ubuntu7.2
25.10 Questing	Bị ảnh hưởng	34.2-2ubuntu1.1
26.04 Resolute	Không bị ảnh hưởng	Không cần update

• Thao tác cập nhật:
  • Lệnh cập nhật:
    • sudo apt update && sudo apt upgrade -y                                         # cập nhật toàn bộ
    • sudo apt update && sudo apt install --only-upgrade kmod   # chỉ cập nhật theo phạm vi ảnh hưởng:
  • Reboot sau khi cập nhật
    sudo reboot
     
• Kiểm tra lại kernel version và kmod (đảm bảo kmod trong dánh sách đã vá tương ứng)
  uname -r
dpkg -l kmod

Debian:

• Các phiên bản đã cập nhật

Release	Kernel đã vá
Debian 11 Bullseye	5.10.251-3 trở lên
Debian 12 Bookworm	6.1.170-1 trở lên
Debian 13 Trixie	6.12.85-1 trở lên
Debian Forky	6.19.14-1 trở lên
Debian Sid	7.0.3-1 trở lên

• Thao tác cập nhật:
  • Lệnh cập nhật
    sudo apt update
sudo apt upgrade -y
  • Reboot sau khi cập nhật
    sudo reboot
• Kiểm tra lại kernel sau khi cập nhật (đảm bảo thuộc phạm vi đã vá lỗi)
  uname -r

AlmaLinux: 

• Các phiên bản đã cập nhật

Release	Kernel đã vá
AlmaLinux 8	4.18.0-553.121.1.el8_10 trở lên
AlmaLinux 9	5.14.0-611.49.2.el9_7 trở lên
AlmaLinux 10	6.12.0-124.52.2.el10_1 trở lên
AlmaLinux Kitten	6.12.0-225.el10 trở lên

• Thao tác cập nhật:
  • Làm sạch metadata:
    sudo dnf clean metadata
  • Cập nhật toàn bộ kernel và các bản vá hiện có
    sudo dnf upgrade
  • Reboot server sau khi cập nhật
    sudo reboot
     
• Kiểm tra lại kernel version bằng lệnh
  uname -r
rpm -q kernel
   

Rocky Linux:

• Các phiên bản đã cập nhật (chưa đầy đủ, theo dõi thêm ở https://kb.ciq.com/article/rocky-linux/rl-cve-2026-31431-mitigation )
   

Release	Patched Kernel Version
Rocky Linux 9 LTS 9.2	kernel-5.14.0-284.30.1+27.1.el9_2_ciq
Rocky Linux 9 LTS 9.4	kernel-5.14.0-427.42.1+19.1.el9_4_ciq
Rocky Linux 9 LTS 9.6	kernel-5.14.0-570.60.1+8.1.el9_6_ciq
Rocky Linux FIPS Compliant 9.2	kernel-5.14.0-284.30.1+27.1.el9_2_ciq
Rocky Linux FIPS Compliant 9.6	kernel-5.14.0-570.60.1+8.1.el9_6_ciq
Rocky Linux 8 LTS 8.6	kernel-4.18.0-372.32.1+24.1.el8_6_ciq

• Thao tác cập nhật:
  • Lệnh cập nhật:
    dnf update kernel
  • Reboot sau khi cập nhật
    sudo reboot
• Kiểm tra lại kernel version bằng lệnh
  uname -r

 

Các khuyến nghị bổ sung:

• Giám sát và phát hiện khai thác qua EDR tools (một số vendor đã có rule phát hiện).
• Hạn chế quyền truy cập của user thông thường (least privilege).
• Sử dụng các giải pháp kernel hardening (AppArmor, SELinux, seccomp...).
• Trong container/Kubernetes: Sử dụng user non-root, Pod Security Policies, và cập nhật node kernel thường xuyên.
• Kiểm tra và reboot sau khi update để áp dụng kernel mới.