A vulnerabilidade 'copy.fail' (identificada como **CVE-2026-31431**) representa uma ameaça severa aos sistemas **Linux**, permitindo a escalação de privilégios local. Isso significa que um atacante que já obteve algum nível de acesso a uma máquina, mesmo com privilégios limitados, pode elevar seus privilégios para root. ### Detalhes Técnicos O exploit explora a API de criptografia do kernel (**AF_ALG** sockets) em conjunto com a função `splice()`. Isso permite que atacantes escrevam quatro bytes por vez diretamente no cache de páginas de um arquivo que não possuem. A vulnerabilidade é particularmente perigosa porque não modifica o arquivo em disco, evadindo a detecção por ferramentas comuns de monitoramento de integridade como **AIDE** e **Tripwire**. ### Impacto Generalizado A vulnerabilidade afeta uma ampla gama de distribuições **Linux**, incluindo **Ubuntu**, **RHEL**, **Debian**, **SUSE**, **Amazon Linux** e **Fedora**. O exploit funciona de forma consistente nessas distribuições sem a necessidade de offsets ou ajustes específicos. ### Implicações para Infraestrutura Compartilhada A vulnerabilidade 'copy.fail' tem sérias implicações para ambientes de infraestrutura compartilhada, como: * Containers em nós **Kubernetes** compartilhados * Tenants em ambientes de hospedagem compartilhada * Jobs de CI/CD executando pull requests não confiáveis * Instâncias **WSL2** em laptops **Windows** * Agentes de IA conteinerizados com acesso shell Nesses cenários, múltiplos usuários ou processos compartilham o mesmo kernel **Linux**, tornando-os vulneráveis a ataques de escalação de privilégios. ### Mitigação Um patch abordando a vulnerabilidade foi mesclado ao kernel principal em 1º de abril. As distribuições estão atualmente implementando kernels atualizados. Até que os sistemas sejam corrigidos, considere implementar perfis seccomp personalizados para bloquear o syscall vulnerável. Os padrões de segurança de Pod do **Kubernetes** (Restrito) e o perfil seccomp RuntimeDefault não bloqueiam o syscall usado pelo exploit. ### Referências [Divulgação Original da Vulnerabilidade](https://jorijn.com/en/blog/copy-fail-cve-2026-31431-linux-kernel-bug-explained/) [Artigo de Notícias](https://arstechnica.com/security/2026/04/as-the-most-severe-linux-threat-in-years-surfaces-the-world-scrambles/)