Tecnología, Internet y juegos
29 meneos
186 clics
Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

Se ha hecho pública una vulnerabilidad crítica de tipo "zero day" en el núcleo de Linux, que permite a cualquier usuario local sin privilegios obtener acceso completo de root en prácticamente todas las principales distribuciones de Linux lanzadas desde 2017.

| etiquetas: linux , zero day , exploit , vulnerabilidad
24 5 0 K 397
17 comentarios
24 5 0 K 397
#3 chavi
"The underlying flaw is classified as an Incorrect Resource Transfer Between Spheres (CWE-669). When algif_aead operates on incoming data, it attempts to optimize memory utilization by processing the decryption "in-place." This optimization avoids allocating redundant memory buffers by reusing the source memory region as the destination memory region for the cryptographic output."

Organizations operating in environments where immediate patching is unfeasible must implement…   » ver todo el comentario
3 K 42
yemeth #8 yemeth *
#3 ¿Estás seguro de que esto es así?

Creo que el que no aparezca como módulo cargado actualmente no significa que no se pueda cargar bajo demanda.

Primero se trataría de comprobar
# modinfo algif_aead
para ver si existe entre los módulos

Luego con
# cat /proc/sys/kernel/modules_disabled
si está a 0 es que se permiten módulos dinámicos, y este puede cargarse.

No sé si meto la pata aquí, pero creo que es más ámplio que ver si está cargado actualmente.
0 K 13
#9 chavi
#8 Ya he mirado.

El modulo no se carga por defecto, pero existe.
Se carga sobre la marcha al hacer ciertas operaciones relacionadas con la criptografía.
Testing (Froky) NO es vulnerable. De la Stable hacia atrás, si.

Es una vilnerabilidad LOCAL. Se necesita scceso previo a la máquina
0 K 12
yemeth #10 yemeth *
#9 Sí, sí, es local, necesitas acceso a la máquina, no he dicho lo contrario. Pero un ataque a la cadena de suministro podría ser espectacular. Todo depende de quién use el dichoso modulito, claro.

Por otro lado sí, a no ser que tengas diversos usuarios con distintos niveles de acceso, efectivamente no es para empezar a correr agitando las manos; pero sí es algo que habría que parchear.

Afortunadamente lo que dan como mitigación tiene su sentido

// Si se intenta cargar que te mande a la mierda:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

// Si ya está en memoria, acabar con él
rmmod algif_aead 2>/dev/null
0 K 13
#13 euacca
#10 Está claro que la única jaula seria hoy día es una máquina virtual. Si permites a algún usuario usar Python enjaulado de alguna manera en un contenedor ya la máquina entera es suya, con este bug.
1 K 24
yemeth #14 yemeth
#13 Exacto, era lo que estaba mirando ahora y también es para tenerlo en cuenta, que esto te sirve para escalar desde un contenedor porque el page cache va por kernel y no por contenedor.
0 K 13
#16 chavi
#14 Solo si tienes cargado el módulo en el host. Los contendores normalmente no permiten la carga de módulos del kernel.
0 K 12
#15 chavi
#13 Realmente depende de la jaula. Pienso que si la jaula no permite la carga de módulos en el Kernel es razonablemente segura.
0 K 12
cenutrios_unidos #1 cenutrios_unidos
Esto aleja a Linux del escrotorio.
1 K 33
#7 diablos_maiq
#1 si nos fijamos en la competencia, yo diría que lo acerca
1 K 20
ronko #2 ronko *
Seguramente según estamos leyendo esto, ya está más que corregida.

Además de que he leído el artículo. :-D
1 K 27
alpoza #4 alpoza
Esto es publicidad de Amazon Linux que es el más rápido de los 3 :troll:
0 K 13
#6 chavi
Bien. Parece que es un modulo auxiliar que se carga en ciertas operaciones con criotografia. Las versiones anteriores.a Forky (Testing) sin vulnerables.

Es una vulnerabilidad LOCAL y se mitiga haciendo blacklist del kernel... probablemente alguna aplicación que necesite ese sistema de cifrado deje de funcionr
0 K 12
#5 chavi
Bueno, parece que en security-tracker.debian.org/tracker/CVE-2026-31431 se cita Trixie como vulnerable, pero no veo el módulo ni la caractarística en el kernel con grep algif_aead /proc/kallsyms

Habrá que investigar más...
0 K 12
#11 a1984
Exploit: github.com/theori-io/copy-fail-CVE-2026-31431/blob/main/copy_fail_exp.

Mitigación: echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif-aead.conf
0 K 9
yemeth #12 yemeth
#11 Eso te sirve para evitar su carga dinámica en memoria, pero si lo tienes actualmente cargado hay que quitarlo también, por eso añade lo de

rmmod algif_aead 2>/dev/null
1 K 22
#17 a1984
#12 ¡Efectivamente, gracias!
0 K 9

menéame