На 29 квітня 2026 року було публічно розкрито вразливість підвищення привілеїв (LPE), що впливає на ядро Linux. Вразливість отримала ідентифікатор CVE CVE-2026-31431 і відома як Copy Fail. Вражений компонент – це модуль ядра, який надає апаратно-акселераційні криптографічні функції: algif_aead. Вразливість впливає на всі версії Ubuntu до Resolute (26.04).

Вразливість має оцінку CVSS 3.1 у 7.8, що відповідає високій серйозності.

Команда безпеки Ubuntu випустила засоби для пом’якшення, які деактивують вразливий модуль ядра Linux у пакеті kmod. Пакети ядра Linux, які імплементують запропоновану патч, будуть випущені.

Вплив вразливості

Деплойменти без контейнерних навантажень

На хостах, які не запускають контейнерні навантаження, вразливість дозволяє локальному користувачеві підвищити привілеї до користувача root. Опублікований експлуатаційний код виконується в такому типі деплойменту.

Контейнерні деплойменти

В контейнерних деплойментах, які можуть виконувати потенційно шкідливі навантаження, вразливість може полегшити сценарії виходу з контейнера. Доказ концепції експлуатаційного коду ще не було опубліковано.

Ризик регресії пом’якшення

Пом’якшення деактивує модуль ядра, який використовується для апаратно-акселерованої криптографії. Додатки повинні перейти до криптографічних функцій у користувацькому просторі, але існує ризик, що деякі з них не мають такої функціональності.

Аналогічно, вже запущені додатки можуть зазнати впливу, якщо модуль буде деактивовано та вивантажено, та може знадобитися перезавантаження, щоб активувати функціональність резервного копіювання.

Вразливі версії

Виправлення вразливості буде розповсюджене через пакети образу ядра Linux. Засіб для пом’якшення, що деактивує вражений модуль, розповсюджується через пакет kmod. Засіб для пом’якшення не буде необхідний після оновлення ядра.

Випуск	Назва пакету	Виправлена версія
Trusty (14.04)	linux	Тільки версії ядра 4.15 підлягають впливу. Версії ядра 3.13 і 4.4 не підлягають впливу.
	kmod	15-0ubuntu7+esm1
Xenial (16.04)	linux	Тільки версії ядра 4.15 підлягають впливу. Версії ядра 4.4 не підлягають впливу.
	kmod	22-1ubuntu5.2+esm1
Bionic (18.04)	linux	Підлягає впливу
	kmod	24-1ubuntu3.5+esm1
Focal (20.04)	linux	Підлягає впливу
	kmod	27-1ubuntu2.1+esm1
Jammy (22.04)	linux	Підлягає впливу
	kmod	29-1ubuntu1.1
Noble (24.04)	linux	Підлягає впливу
	kmod	31+20240202-2ubuntu7.2
Questing (25.10)	linux	Підлягає впливу
	kmod	34.2-2ubuntu1.1
Resolute (26.04)	linux	Не підлягає впливу
	kmod	Оновлення не потрібне

Як перевірити, чи ви під впливом

На вашій системі запустіть наступну команду, щоб отримати версію поточного ядра та порівняти її з наведеними вище таблицями.

uname -r

Список встановлених пакетів ядра можна отримати за допомогою наступної команди:

dpkg -l 'linux-image*' | grep ^ii

Щоб отримати версію пакету kmod, що містить засіб для пом’якшення, виконайте наступну команду й порівняйте її з таблицею вище.

dpkg -l kmod

Оновлення безпеки

Рекомендуємо оновити всі пакунки:

sudo apt update && sudo apt upgrade

Якщо це неможливо, можна націлитись на вражений компонент:

sudo apt update && sudo apt install --only-upgrade kmod

Функція автоматичних оновлень активована за замовчуванням для Ubuntu 16.04 LTS та більш нових версій. Ця служба:

• Автоматично застосовує нові оновлення безпеки кожні 24 години.
• Якщо ви активували цю функцію, вище наведені патчі будуть автоматично застосовані протягом 24 годин з моменту їхньої наявності.

Перезавантаження системи забезпечить застосування пом’якшення, незважаючи на поточний стан. Якщо це неможливо, переконатися, що модуль не завантажено, буде достатньо, і не знадобиться перезавантаження системи.

Щоб уникнути перезавантаження, спочатку вивантажте модуль, у разі якщо він вже завантажений:

sudo rmmod algif_aead 2>/dev/null 

Перевірте, чи модуль все ще завантажений:

grep -qE '^algif_aead ' /proc/modules && echo "Вражений модуль завантажено" || echo "Вражений модуль НЕ завантажено"

Вивантаження модуля може вплинути на вже запущені додатки. Аналогічно, якщо модуль в даний момент використовується, видалення модуля може зазнати невдачі. У таких випадках перезавантаження системи має спонукати додатки перейти до функцій криптографії без прискорення:

sudo reboot

Ручне пом’якшення (альтернатива)

Якщо ви не можете застосувати пом’якшення в користувацькому просторі через оновлення пакету kmod, ви можете налаштувати його вручну на вашій системі, використовуючи інструкції в цьому розділі.

Заблокуйте модуль, створивши файл /etc/modprobe.d/manual-disable-algif_aead.conf. Це те ж саме, що й виконує оновлення kmod.

echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/manual-disable-algif_aead.conf

Вивантажте модуль, у разі якщо він вже завантажений:

sudo rmmod algif_aead 2>/dev/null 

Перевірте, чи модуль все ще завантажений:

grep -qE '^algif_aead ' /proc/modules && echo "Вражений модуль завантажено" || echo "Вражений модуль НЕ завантажено"

Вивантаження модуля може вплинути на вже запущені додатки. Аналогічно, якщо він в даний момент використовується, видалення модуля може зазнати невдачі. У таких випадках перезавантаження системи має спонукати додатки перейти до функцій криптографії без прискорення:

sudo reboot

Вимкнення пом’якшення

Якщо у вас встановлено пом’якшення kmod і ви бажаєте його вимкнути через проблеми з сумісністю додатків, ви можете закоментувати файл конфігурації, що деактивує модуль, і перезавантажити хост:

sudo sed -i 's/^/#/' /etc/modprobe.d/disable-algif_aead.conf

sudo reboot