Наприкінці квітня 2026 року в Linux-спільноті почали обговорювати нову вразливість Copy Fail (CVE-2026-31431). Проблема криється в модулі ядра algif_aead і дозволяє локально підняти привілеї до root. Простіше кажучи: якщо на сервері вже крутиться сторонній код або зламано якийсь веб-застосунок, зловмисник може отримати повний контроль над VPS.
Локальні атаки часто недооцінюють, вважаючи їх малоймовірними. Проте на сучасному сервері зазвичай працює купа всього: CMS, Docker-контейнери, панелі керування або інструменти автоматизації розгортання. У таких умовах будь-яка діра в коді сайту чи скомпрометований обліковий запис стають точкою входу, з якої Copy Fail дозволяє зайти в саму систему.
Чому проблема вважається небезпечною
Головна неприємність у тому, що баг засів безпосередньо в ядрі Linux, а не в якомусь окремому софті. Відповідно, під загрозою опинилася величезна кількість систем.
Помилка пов’язана з механізмом AF_ALG, який відповідає за криптографію. Через некоректну роботу з пам’яттю модуль algif_aead дає можливість маніпулювати page cache (кешем файлів у пам’яті). За певних умов це дозволяє змінювати системні файли в обхід стандартного запису на диск. Результат – звичайний користувач або процес отримує права root і перебирає на себе керування сервером.
Ситуація ускладнюється тим, що ця вразливість існувала в ядрах кілька років і залишалася непоміченою. Одразу після публікації CVE-2026-31431 у мережі з’явилися готові приклади експлуатації та технічні демонстрації атаки.
Які системи можуть бути вразливими
Проблема зачіпає більшість популярних дистрибутивів:
- Ubuntu
- Debian
- AlmaLinux
- Rocky Linux
- CentOS Stream
- Fedora
- openSUSE
Розробники операційних систем уже випустили виправлення. Проте ризик залишається реальним для всіх серверів, де ядро не оновлювали з моменту виходу патчів. Особливо це стосується VPS із публічними сервісами, де код виконується від імені різних користувачів.
Як перевірити систему
Для початку варто дізнатися поточну версію ядра:
uname -rТакож корисно перевірити, чи взагалі завантажений у системі проблемний модуль:
lsmod | grep algif_aeadЯкщо модуль є в списку, а сервер давно не перезавантажувався з оновленнями, краще зайнятися цим найближчим часом.
Що рекомендується зробити
Надійний спосіб захисту – оновити ядро Linux до актуальної версії.
Для Ubuntu або Debian:
apt update
apt upgrade
rebootДля дистрибутивів на базі Red Hat (AlmaLinux, Rocky Linux, CentOS Stream):
dnf update
rebootПісля перезапуску системи переконайтеся, що нове ядро встановилося успішно:
uname -rТимчасове рішення для зниження ризиків
Коли оновити систему прямо зараз немає можливості (наприклад, через страх зламати сумісність софту), можна заблокувати сам модуль algif_aead:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead 2>/dev/null || trueЦе не усуває вразливість у коді, але перекриває шлях для її експлуатації, виграючи час до повноцінного обслуговування.
Чому оновлення Linux VPS краще не відкладати
Copy Fail – це не просто черговий рядовий запис у базах безпеки. Вразливості ядра, які дають root-доступ, автоматично переносять сервер у зону підвищеного ризику. Практика показує, що зловмисники рідко шукають прямий шлях до root ззовні; вони беруть сервер під контроль крок за кроком, і локальне підвищення прав зазвичай стає фінальним акордом атаки. Стабільна робота VPS прямо зараз не гарантує безпеку завтра, тому регулярне встановлення патчів ядра має бути звичною рутиною.