Linux çekirdeğinde CVE-2026-31431 koduyla izlenen Copy Fail açığı, 2017’den bu yana yayımlanan birçok ana akım Linux dağıtımını etkileyen ciddi bir yerel yetki yükseltme sorunu olarak gündeme geldi.
Theori ve Xint Code tarafından ortaya çıkarılan açık, standart bir kullanıcı hesabına sahip saldırganın root yetkisi almasına kapı açıyor. Açığın 29 Nisan 2026’da kamuya duyurulduğu, CVSS puanının 7.8 olduğu ve yüksek seviyede sınıflandırıldığı doğrulandı.
Copy Fail’i öne çıkaran taraf, birçok Linux yetki yükseltme açığında görülen yarış durumu, dağıtıma özel bellek adresi ya da hassas zamanlama ihtiyacının burada bulunmaması. Araştırmacılara göre aynı kısa Python PoC betiği Ubuntu, Amazon Linux, RHEL ve SUSE üzerinde çalıştırılarak root kabuğu elde edilebildi. Açık Linux çekirdeğinin kriptografi alt sisteminde yer alan algif_aead modülündeki mantık hatasından kaynaklanıyor.
Copy Fail, Linux çekirdeğinde authencesn kriptografik şablonu, AF_ALG arayüzü ve splice() mekanizmasının birlikte kullanıldığı bir hata zincirinden doğuyor. Saldırgan, sistemde yalnızca normal bir kullanıcı hesabına sahip olsa bile çekirdeğin page cache alanına kontrollü biçimde 4 bayt yazabiliyor.
Bu alan, Linux’un dosyaları RAM üzerinde tuttuğu yüksek hızlı önbellek katmanı olarak çalışıyor. Hedef olarak /usr/bin/su gibi setuid yetkisine sahip bir ikili dosya seçildiğinde, diskteki dosya değişmeden RAM’deki kopya manipüle edilebiliyor.
Bu nokta açığın en kritik yanlarından biri. Değişiklik doğrudan diskteki dosyaya yazılmadığı için klasik bütünlük kontrolleri dosyanın resmi paket karmasıyla aynı olduğunu gösterebilir.
Ancak sistem programı çalıştırırken page cache üzerindeki kopyayı kullandığı için saldırgan root yetkisi alabilir. Sistemin yeniden başlatılması ya da bellek baskısı altında cache’in temizlenmesiyle bu geçici değişiklik ortadan kalkar; fakat saldırganın elde ettiği root kabuğu gerçektir.
Açığın geçmişi 2017’de Linux çekirdeğine eklenen bir in-place optimizasyonuna uzanıyor. Bu değişiklik, algif_aead tarafında kaynak ve hedef veri yolları arasındaki güvenli ayrımı zayıflattı.
Linux kernel CVE kayıtlarında hata 4.14 sürüm hattında tanıtılan 72548b093ee3 commit’iyle ilişkilendiriliyor; ana düzeltme ise a664bf3d603d commit’iyle geldi. Ubuntu güvenlik kaydı da çözümün algif_aead tarafında “out-of-place” çalışmaya dönülmesiyle sağlandığını belirtiyor.
Copy Fail, tek başına uzaktan çalıştırılabilen bir açık değil. Saldırganın önce sistemde kod çalıştırabilmesi veya normal kullanıcı hesabına erişebilmesi gerekiyor. Ancak bu şart sağlandığında risk büyüyor.
Paylaşımlı geliştirme makineleri, jump host’lar, build sunucuları, CI runner’lar, Kubernetes node’ları, container kümeleri, notebook servisleri, ajan sandbox’ları ve kullanıcı kodu çalıştıran bulut platformları en riskli alanlar arasında yer alıyor. Çünkü container’lar aynı host çekirdeğini ve page cache altyapısını paylaşıyor; bu da açığı container dışına taşan bir yetki yükseltme vektörüne dönüştürüyor.
Araştırmacılar Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 ve SUSE 16 üzerinde açığı doğrudan doğruladı. Debian, Arch, Fedora, Rocky Linux, AlmaLinux, Oracle Linux ve gömülü Linux sistemleri gibi etkilenen çekirdekleri kullanan diğer dağıtımlar da kapsam içinde değerlendiriliyor. Burada belirleyici unsur dağıtım adı değil, kullanılan kernel sürümü ve ilgili düzeltmenin pakete dahil edilip edilmediği.
Zaman çizelgesine göre açık 23 Mart 2026’da Linux kernel güvenlik ekibine bildirildi. İlk onay 24 Mart’ta geldi, yamalar 25 Mart’ta önerilip incelendi, ana düzeltme 1 Nisan’da mainline kernel’e girdi, CVE-2026-31431 kaydı 22 Nisan’da atandı ve kamuya açık duyuru 29 Nisan’da yapıldı.
Bulguların yapay zekâ destekli Xint Code taramasıyla ortaya çıktığı belirtiliyor; ancak araştırma, Theori araştırmacısı Taeyang Lee’nin Linux crypto alt sistemi ile page cache destekli veri yolları arasındaki ilişkiye dair teknik gözleminden başladı.
Sistem yöneticileri için öncelikli adım, dağıtımın sağladığı güncel kernel paketine geçmek. Düzeltmenin ana hatta a664bf3d603d commit’iyle geldiği, bazı kararlı kernel dallarında ise 6.18.22 ve 6.19.12 gibi sabit sürümlerde yer aldığı aktarılıyor.
Güncelleme hemen yapılamayan sistemlerde algif_aead modülünün devre dışı bırakılması geçici önlem olarak öne çıkıyor. Modül dinamik yükleniyorsa /etc/modprobe.d/disable-algif.conf içine algif_aead yüklemesini engelleyen kural eklenip mevcut modül kaldırılabiliyor.
Bu geçici önlem her sistem için aynı sonucu vermeyebilir. Bazı enterprise kernel yapılandırmalarında ilgili bileşen modül olarak değil, doğrudan kernel içine gömülü olabilir. Bu senaryoda modülü kaldırmak işe yaramaz ve boot parametresiyle engelleme gibi farklı yöntemler gerekebilir. Untrusted workload çalıştıran ortamlarda ise yama sonrasında bile AF_ALG socket oluşturma erişiminin seccomp gibi mekanizmalarla sınırlandırılması tavsiye ediliyor.
Copy Fail’in pratik etkisi masaüstü kullanıcıları için daha sınırlı olabilir. Çünkü saldırganın önce yerel kod çalıştırması gerekir. Ancak çok kullanıcılı sunucular, self-hosted CI runner’lar, container tabanlı servisler ve bulut ortamları için risk seviyesi çok daha yüksek. Bu nedenle Linux kullanan altyapılarda kernel sürümünün ve dağıtım güvenlik yamalarının hemen kontrol edilmesi gerekiyor.
Dolar 45,1859 % -0.07
İmsak Vakti 02:00
News
SİBER GÜVENLİK
SİBER GÜVENLİK
SİBER GÜVENLİK
SİBER GÜVENLİK
SİBER GÜVENLİK
SİBER GÜVENLİK
DÜNYA
ROPÖRTAJLAR
DÜNYA
DÜNYA
DÜNYA
DÜNYA
DÜNYA
DÜNYA
