Menéame: comentarios [4173531]

#20 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

chavi — Thu, 30 Apr 2026 19:51:23 +0000

#19 Pues no estoy seguro, pero en principio no debería poder cargarlo.

Hay bastante software que falla en containers LXC por eso.

Probar y ver

» autor: chavi

#19 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

yemeth — Thu, 30 Apr 2026 17:37:20 +0000

#16 No lo tengo nada claro. Cuando abres el socket AF_ALG desde el contenedor y bindeas el aead, tú no estás dando la orden de que se cargue el módulo; pero diría que el kernel lo va a cargar indirectamente para darte la funcionalidad. Es una carga implícita, no explícita.

» autor: yemeth

#18 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

euacca — Thu, 30 Apr 2026 17:36:21 +0000

#15 En este caso sí, pero últimamente se han visto ataques incluso desde JavaScript en navegador a fallos en los chips de memoria. ????♂️ Las VM no dan aislamiento del hardware pero dan muchísimo más aislamiento que los contenedores, la diferencia es enorme. Por eso por ejemplo los runners de gitlab punto com instancian una VM por cada ejecución, no solo un contenedor.

» autor: euacca

#17 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

a1984 — Thu, 30 Apr 2026 16:50:46 +0000

#12 ¡Efectivamente, gracias!

» autor: a1984

#16 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

chavi — Thu, 30 Apr 2026 16:40:38 +0000

#14 Solo si tienes cargado el módulo en el host. Los contendores normalmente no permiten la carga de módulos del kernel.

» autor: chavi

#15 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

chavi — Thu, 30 Apr 2026 16:40:04 +0000

#13 Realmente depende de la jaula. Pienso que si la jaula no permite la carga de módulos en el Kernel es razonablemente segura.

» autor: chavi

#14 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

yemeth — Thu, 30 Apr 2026 16:13:23 +0000

#13 Exacto, era lo que estaba mirando ahora y también es para tenerlo en cuenta, que esto te sirve para escalar desde un contenedor porque el page cache va por kernel y no por contenedor.

» autor: yemeth

#13 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

euacca — Thu, 30 Apr 2026 16:10:29 +0000

#10 Está claro que la única jaula seria hoy día es una máquina virtual. Si permites a algún usuario usar Python enjaulado de alguna manera en un contenedor ya la máquina entera es suya, con este bug.

» autor: euacca

#12 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

yemeth — Thu, 30 Apr 2026 16:03:33 +0000

#11 Eso te sirve para evitar su carga dinámica en memoria, pero si lo tienes actualmente cargado hay que quitarlo también, por eso añade lo de

rmmod algif_aead 2>/dev/null

» autor: yemeth

#11 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

a1984 — Thu, 30 Apr 2026 15:30:13 +0000

Exploit: github.com/theori-io/copy-fail-CVE-2026-31431/blob/main/copy_fail_exp.

Mitigación: echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif-aead.conf

» autor: a1984

#10 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

yemeth — Thu, 30 Apr 2026 15:25:37 +0000

#9 Sí, sí, es local, necesitas acceso a la máquina, no he dicho lo contrario. Pero un ataque a la cadena de suministro podría ser espectacular. Todo depende de quién use el dichoso modulito, claro.

Por otro lado sí, a no ser que tengas diversos usuarios con distintos niveles de acceso, efectivamente no es para empezar a correr agitando las manos; pero sí es algo que habría que parchear.

Afortunadamente lo que dan como mitigación tiene su sentido

// Si se intenta cargar que te mande a la mierda:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

// Si ya está en memoria, acabar con él
rmmod algif_aead 2>/dev/null

» autor: yemeth

#9 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

chavi — Thu, 30 Apr 2026 15:17:46 +0000

#8 Ya he mirado.

El modulo no se carga por defecto, pero existe.
Se carga sobre la marcha al hacer ciertas operaciones relacionadas con la criptografía.
Testing (Froky) NO es vulnerable. De la Stable hacia atrás, si.

Es una vilnerabilidad LOCAL. Se necesita scceso previo a la máquina

» autor: chavi

#8 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

yemeth — Thu, 30 Apr 2026 15:15:00 +0000

#3 ¿Estás seguro de que esto es así?

Creo que el que no aparezca como módulo cargado actualmente no significa que no se pueda cargar bajo demanda.

Primero se trataría de comprobar
# modinfo algif_aead
para ver si existe entre los módulos

Luego con
# cat /proc/sys/kernel/modules_disabled
si está a 0 es que se permiten módulos dinámicos, y este puede cargarse.

No sé si meto la pata aquí, pero creo que es más ámplio que ver si está cargado actualmente.

» autor: yemeth

#7 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

diablos_maiq — Thu, 30 Apr 2026 12:13:14 +0000

#1 si nos fijamos en la competencia, yo diría que lo acerca

» autor: diablos_maiq

#6 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

chavi — Thu, 30 Apr 2026 12:09:27 +0000

Bien. Parece que es un modulo auxiliar que se carga en ciertas operaciones con criotografia. Las versiones anteriores.a Forky (Testing) sin vulnerables.

Es una vulnerabilidad LOCAL y se mitiga haciendo blacklist del kernel... probablemente alguna aplicación que necesite ese sistema de cifrado deje de funcionr

» autor: chavi

#5 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

chavi — Thu, 30 Apr 2026 11:45:07 +0000

Bueno, parece que en security-tracker.debian.org/tracker/CVE-2026-31431 se cita Trixie como vulnerable, pero no veo el módulo ni la caractarística en el kernel con grep algif_aead /proc/kallsyms

Habrá que investigar más...

» autor: chavi

#4 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

alpoza — Thu, 30 Apr 2026 11:35:15 +0000

Esto es publicidad de Amazon Linux que es el más rápido de los 3

» autor: alpoza

#3 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

chavi — Thu, 30 Apr 2026 11:34:31 +0000

"The underlying flaw is classified as an Incorrect Resource Transfer Between Spheres (CWE-669). When algif_aead operates on incoming data, it attempts to optimize memory utilization by processing the decryption "in-place." This optimization avoids allocating redundant memory buffers by reusing the source memory region as the destination memory region for the cryptographic output."

Organizations operating in environments where immediate patching is unfeasible must implement preventative workarounds. Disabling the algif_aead kernel module prevents unprivileged users from instantiating the vulnerable socket configuration.

Debian Testing (Forky) configuración estándar:
root@jupiter:~# lsmod |grep algif
algif_hash 16384 1
algif_skcipher 12288 1
af_alg 32768 6 algif_hash,algif_skcipher

Debain Stable (Trixie):
lsmod |grep algif
root@debian:~#

Parece que puedo estar tranquilo...

» autor: chavi

#2 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

ronko — Thu, 30 Apr 2026 11:33:50 +0000

Seguramente según estamos leyendo esto, ya está más que corregida.

_{Además de que he leído el artículo.}

» autor: ronko

#1 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

cenutrios_unidos — Thu, 30 Apr 2026 11:28:46 +0000

Esto aleja a Linux del escrotorio.

» autor: cenutrios_unidos