技术说明
Linux内核加密子系统(algif_aead模块)中的确定性逻辑缺陷允许无特权的本地攻击者通过损坏共享内核页面缓存来实现root权限提升。该漏洞影响Kubernetes集群和容器平台,其中共享页面缓存使受损容器能够修改主机上特权可执行文件的内存副本而不触发文件完整性检查,因为物理文件保持不变。CISA于2026年5月1日将CVE-2026-31431添加到KEV目录,修复截止日期为5月15日。
攻击途径
通过732字节的Python脚本利用加密操作期间的TOCTOU缺陷实现本地权限提升。该漏洞利用程序在合法缓冲区区域之外直接向系统文件页面缓存写入四个受控字节,允许在内存中修改可信可执行文件(sudo、su),同时保持磁盘文件完整。在主要发行版中无需修改即可确定性工作。
受影响系统
Linux内核4.14至6.19.12版本(2017-2026)。多租户Linux主机、Kubernetes集群、容器平台、CI/CD运行器和运行用户提供代码的云SaaS环境风险最高。Ubuntu 24.04 LTS、Amazon Linux 2023、RHEL 10.1和SUSE 16确认存在漏洞。
缓解措施
立即应用供应商发布的内核更新。临时解决方案:通过'echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf'将algif_aead内核模块加入黑名单并运行'rmmod algif_aead'。Microsoft指出截至2026年5月1日,利用仍限于概念验证测试。