Hướng dẫn cập nhật kernel vá lỗ hổng Copy Fail trên CentOS / RHEL / AlmaLinux / Rocky Linux

20 giờ ago
Nguyễn Bình
8 minutes

Lỗ hổng bảo mật quan trọng CVE-2026-31431 đã được phát hiện trong kernel Linux. Để đảm bảo an toàn cho hệ thống, người dùng các hệ điều hành bị ảnh hưởng cần thực hiện các bước vá lỗi hoặc áp dụng biện pháp giảm thiểu tạm thời ngay lập tức. Dưới đây là hướng dẫn chi tiết cho các hệ điều hành phổ biến dựa trên RHEL.

Trước tiên, hãy xác định phiên bản kernel hệ thống đang chạy bằng lệnh : uname -r

I. CentOS Stream 9 & 10 Các phiên bản bị ảnh hưởng

  • CentOS Stream 9: Tất cả kernel trước bản 5.14.0-701.el9 đều bị ảnh hưởng. Kernel 5.14.0-701.el9 (hoặc cao hơn) đã được update bản vá.
  • CentOS Stream 10: Tất cả kernel trước bản vá (thường là trước kernel 6.12.0-225.el10) đều bị ảnh hưởng. Kernel an toàn là bản build sau khi merge patch ( là kernel 6.12.0-225.el10 mới nhất, hiện đang chờ compose đầy đủ).

1. Cách tạm thời (Mitigation)

Để tạo file chặn module algif_aead và gỡ module nếu đang load, chạy các lệnh sau:

Bước 1:  Tạo file chặn module

echo “install algif\_aead /bin/false” | sudo tee /etc/modprobe.d/disable-algif\_aead.conf

Bước 2:  Gỡ module nếu đang load

sudo rmmod algif\_aead 2\>/dev/null || true

lsmod | grep algif_aead

2. Cách cập nhật kernel chính thức

Bước 1: Làm sạch bộ nhớ cache DNF:

sudo dnf clean all

Bước 2: Thực hiện cập nhật các gói kernel

sudo dnf update kernel\* kernel-core kernel-modules\*

chờ 1 lúc tới khi có thông báo cài đặt hoàn tất.

Bước 3: Kiểm tra kernel mới đã được cài đặt
(Thực hiện bước này để xác nhận kernel mới đã có trong danh sách trước khi khởi động lại. Đối với CentOS Stream 9, bạn kiểm tra sự xuất hiện của bản 5.14.0-701 hoặc cao hơn.)

sudo dnf list kernel –showduplicates | grep -E ‘installed|5.14.0-701’

Bước 4: Khởi động lại hệ thống

sudo reboot

Bước 5: Kiểm tra phiên bản kernel đang chạy sau khi reboot

uname -r

Bước 6: Xác nhận bản vá CVE-2026-31431 đã được áp dụng trong changelog của kernel

rpm -q --changelog kernel | grep -i 31431

II.  Red Hat Enterprise Linux (RHEL 8 / 9 / 10)

Các phiên bản bị ảnh hưởng

  • Tất cả kernel trước errata đều bị ảnh hưởng (ví dụ: RHEL 10.1 kernel-6.12.0-124.45.1.el10_1).

Kernel an toàn

  • RHEL 9: kernel từ errata RHSA-2026:13565 trở lên.
  • RHEL 10: kernel từ RHSA-2026:13566 trở lên.
  • RHEL 8: kernel từ RHSA-2026:13577 trở lên.

1. Cách Tạm Thời (Mitigation)

Đây là biện pháp tức thời để ngăn chặn lỗ hổng bằng cách chặn module bị ảnh hưởng (algif_aead).

Bước 1: Chặn module algif_aead

Tạo một tệp cấu hình để ngăn hệ thống tự động tải module này khi khởi động.

echo “install algif_aead /bin/false” | sudo tee /etc/modprobe.d/disable-algif_aead.conf

Bước 2: Gỡ module nếu nó đang được tải

Thử gỡ module khỏi kernel đang chạy. Lệnh này sẽ bỏ qua lỗi nếu module không được tải (2>/dev/null || true).

sudo rmmod algif_aead 2>/dev/null || true

2. Cách Cập Nhật Kernel Chính Thức

Bước 1: Làm sạch bộ nhớ cache DNF

sudo dnf clean all

Bước 2: Thực hiện cập nhật các gói kernel

Sử dụng lệnh ưu tiên cập nhật bảo mật:

sudo dnf update –security kernel\*

Hoặc sử dụng lệnh cập nhật chung:

sudo dnf update kernel\*

Bước 3: Khởi động lại hệ thống

Khởi động lại để hệ thống sử dụng phiên bản kernel mới đã được vá lỗi.

sudo reboot

Bước 4: Kiểm tra phiên bản kernel đang chạy sau khi reboot

uname -r

III. AlmaLinux / Rocky Linux / Oracle Linux (Các bản clone RHEL)

Các phiên bản bị ảnh hưởng và Kernel an toàn

  • Các phiên bản bị ảnh hưởng: Tất cả kernel trước errata đều bị ảnh hưởng (ví dụ: RHEL 10.1 kernel-6.12.0-124.45.1.el10_1).
  • Kernel an toàn:
    • RHEL 9: kernel từ errata RHSA-2026:13565 trở lên.
    • RHEL 10: kernel từ RHSA-2026:13566 trở lên.
    • RHEL 8: kernel từ errata RHSA-2026:13577 trở lên.

1. Cách Tạm Thời (Mitigation)

Thực hiện các bước sau để chặn module algif_aead và giảm thiểu rủi ro

Bước 1: Chặn module và tạo tệp cấu hình

echo “install algif_aead /bin/false” | sudo tee /etc/modprobe.d/disable-algif_aead.conf

Bước 2: Gỡ module nếu nó đang được tải

sudo rmmod algif_aead 2>/dev/null || true

#Tùy chọn: Thêm tham số blacklist vào Grub (nếu cần khởi động lại để chắc chắn hơn):

sudo grubby –update-kernel=ALL –args=”initcall_blacklist=algif_aead_init”

2. Cách Cập Nhật Kernel Chính Thức

Đây là phương pháp vá lỗi triệt để nhất

Bước 1: Làm sạch bộ nhớ cache DNF

sudo dnf clean all

Bước 2: Thực hiện cập nhật các gói kernel

sudo dnf update kernel\*

 

Bước 3: Khởi động lại hệ thống để áp dụng kernel mới

sudo reboot

Bước 4: Kiểm tra phiên bản kernel đang chạy sau khi reboot

uname -r

Đảm bảo kernel đã nằm được update bản vá.

IV. Lưu ý Quan trọng và Khuyến nghị

  • Ưu tiên Khắc phục Triệt để: Việc cập nhật kernel lên phiên bản an toàn được liệt kê trong mục “Kernel an toàn” là phương pháp khắc phục triệt để và được khuyến nghị nhất.
  • Biện pháp tạm thời (Mitigation) chỉ nhằm mục đích giảm thiểu rủi ro tức thời và nên được thay thế bằng bản vá chính thức ngay khi có thể.
  • Xác minh sau Thao tác: Sau khi khởi động lại, luôn kiểm tra phiên bản kernel đang chạy bằng lệnh uname -r để xác nhận hệ thống đang sử dụng phiên bản đã được vá.
  • Theo dõi Nguồn chính thức: Người dùng các bản phân phối clone RHEL (AlmaLinux, Rocky Linux, Oracle Linux) nên theo dõi các kênh thông báo/security errata chính thức của nhà cung cấp hệ điều hành đó để nhận bản vá sớm nhất sau khi Red Hat phát hành.

Như vậy, Long Vân đã hướng dẫn quý Khách các bước giảm thiểu tạm thời và quy trình cập nhật kernel để khắc phục lỗ hổng CVE-2026-31431. Chúc quý Khách thành công.

Post Views: 6