Menéame: comentarios [4173531]

#11 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

a1984 — Thu, 30 Apr 2026 15:30:13 +0000

Exploit: github.com/theori-io/copy-fail-CVE-2026-31431/blob/main/copy_fail_exp.

Mitigación: echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif-aead.conf

» autor: a1984

#10 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

yemeth — Thu, 30 Apr 2026 15:25:37 +0000

#9 Sí, sí, es local, necesitas acceso a la máquina, no he dicho lo contrario. Pero un ataque a la cadena de suministro podría ser espectacular. Todo depende de quién use el dichoso modulito, claro.

Por otro lado sí, a no ser que tengas diversos usuarios con distintos niveles de acceso, efectivamente no es para empezar a correr agitando las manos; pero sí es algo que habría que parchear.

Afortunadamente lo que dan como mitigación tiene su sentido

// Si se intenta cargar que te mande a la mierda:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

// Si ya está en memoria, acabar con él
rmmod algif_aead 2>/dev/null

» autor: yemeth

#9 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

chavi — Thu, 30 Apr 2026 15:17:46 +0000

#8 Ya he mirado.

El modulo no se carga por defecto, pero existe.
Se carga sobre la marcha al hacer ciertas operaciones relacionadas con la criptografía.
Testing (Froky) NO es vulnerable. De la Stable hacia atrás, si.

Es una vilnerabilidad LOCAL. Se necesita scceso previo a la máquina

» autor: chavi

#8 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

yemeth — Thu, 30 Apr 2026 15:15:00 +0000

#3 ¿Estás seguro de que esto es así?

Creo que el que no aparezca como módulo cargado actualmente no significa que no se pueda cargar bajo demanda.

Primero se trataría de comprobar
# modinfo algif_aead
para ver si existe entre los módulos

Luego con
# cat /proc/sys/kernel/modules_disabled
si está a 0 es que se permiten módulos dinámicos, y este puede cargarse.

No sé si meto la pata aquí, pero creo que es más ámplio que ver si está cargado actualmente.

» autor: yemeth

#7 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

diablos_maiq — Thu, 30 Apr 2026 12:13:14 +0000

#1 si nos fijamos en la competencia, yo diría que lo acerca

» autor: diablos_maiq

#6 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

chavi — Thu, 30 Apr 2026 12:09:27 +0000

Bien. Parece que es un modulo auxiliar que se carga en ciertas operaciones con criotografia. Las versiones anteriores.a Forky (Testing) sin vulnerables.

Es una vulnerabilidad LOCAL y se mitiga haciendo blacklist del kernel... probablemente alguna aplicación que necesite ese sistema de cifrado deje de funcionr

» autor: chavi

#5 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

chavi — Thu, 30 Apr 2026 11:45:07 +0000

Bueno, parece que en security-tracker.debian.org/tracker/CVE-2026-31431 se cita Trixie como vulnerable, pero no veo el módulo ni la caractarística en el kernel con grep algif_aead /proc/kallsyms

Habrá que investigar más...

» autor: chavi

#4 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

alpoza — Thu, 30 Apr 2026 11:35:15 +0000

Esto es publicidad de Amazon Linux que es el más rápido de los 3

» autor: alpoza

#3 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

chavi — Thu, 30 Apr 2026 11:34:31 +0000

"The underlying flaw is classified as an Incorrect Resource Transfer Between Spheres (CWE-669). When algif_aead operates on incoming data, it attempts to optimize memory utilization by processing the decryption "in-place." This optimization avoids allocating redundant memory buffers by reusing the source memory region as the destination memory region for the cryptographic output."

Organizations operating in environments where immediate patching is unfeasible must implement preventative workarounds. Disabling the algif_aead kernel module prevents unprivileged users from instantiating the vulnerable socket configuration.

Debian Testing (Forky) configuración estándar:
root@jupiter:~# lsmod |grep algif
algif_hash 16384 1
algif_skcipher 12288 1
af_alg 32768 6 algif_hash,algif_skcipher

Debain Stable (Trixie):
lsmod |grep algif
root@debian:~#

Parece que puedo estar tranquilo...

» autor: chavi

#2 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

ronko — Thu, 30 Apr 2026 11:33:50 +0000

Seguramente según estamos leyendo esto, ya está más que corregida.

_{Además de que he leído el artículo.}

» autor: ronko

#1 Una vulnerabilidad de día cero del núcleo de Linux denominada "Copy Fail" afecta a todas las distribuciones desde 2017 (ENG)

cenutrios_unidos — Thu, 30 Apr 2026 11:28:46 +0000

Esto aleja a Linux del escrotorio.

» autor: cenutrios_unidos