Vakava haavoittuvuus Linux-kernelissä | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Vakava haavoittuvuus Linux-kernelissä

30. huhtikuuta 2026 klo 12.40, päivitetty 8. toukokuuta 2026 klo 23.15

"Copy Fail" -haavoittuvuuden hyväksikäyttäminen vaatii pelkästään tavallisen paikallisen käyttäjätilin. Haavoittuvuutta hyväksikäyttämällä paikallisen käyttäjän tililtä voidaan ajaa haitallista koodia ilman tarvittavia käyttöoikeuksia. Haavoittuvuus koskee valtaosaa 2017-vuoden jälkeen julkaistuista Linux-jakeluista. Myös toinen samantyyppinen, Dirty Frag -nimellä tunnettu haavoittuvuus on löytynyt.

Haavoittuvuuden yhteenveto

  • Haavoittuvuus: 10/2026
  • Vakavuus: Vakava haavoittuvuus (CVSS 7.8)
  • Kohde: Linux kerneli joka on koottu 2017 ja kevään 2026 välisenä aikana
  • Vaikutus: Haavoittuvuuden avulla tavallinen käyttäjä voi saada järjestelmän täydet pääkäyttäjäoikeudet (root)
  • Korjaustoimet: Päivitä kerneli korjauksen sisältävään versioon

     

Haavoittuvuuden kohde

Tämänhetkisen tiedon mukaan haavoittuvuus koskee laajasti useita Linux-jakeluita, joissa kerneli on koottu 2017 ja kevään 2026 välisenä aikana. Haavoittuvuus on varmistettu koskevan muun muassa Ubuntu, Amazon Linux, RHEL, SUSE -jakeluita, mutta haavoittuvuus koskee myös valtaosaa muita Linux-jakeluita.

Mistä on kysymys?

“Copy Fail” on vakava Linux-käyttöjärjestelmän kernel haavoittuvuus, jonka avulla tavallinen käyttäjä voi saada järjestelmän täydet pääkäyttäjäoikeudet (root).
Haavoittuvuus hyödyntää kernelin krypto-API:n (AF_ALG) ja splice()-järjestelmäkutsun virhettä. Hyökkääjä voi kirjoittaa hallitusti neljä tavua suoraan minkä tahansa luettavissa olevan tiedoston sivuvälimuistiin. Korvaamalla esimerkiksi su- tai sudo-ohjelman koodia välimuistissa, hyökkääjä voi ohittaa salasanatarkistukset ja nousta pääkäyttäjäksi.

Tämän haavoittuvuuden avulla hyökkääjä voi korottaa paikallisia käyttöoikeuksiaan (LPE). Haavoittuvuus hyödyntää kernelin krypto-rajapinnan (AF_ALG) logiikkavirhettä, ja siihen on jo julkaistu toimiva hyökkäyskoodi (PoC).

Mitä voin tehdä?

Seuraa oman Linux-jakelusi tai ohjelmistosi valmistajan tiedotteita ja korjaavia päivityksiä. Haavoittuvuuden hyväksikäytön voi ehkäistä poistamalla käytöstä algif_aead moduuli ja sen jälkeen päivittää kerneli versioon, joka sisältää korjauksen (commit a664bf3d603d), joka poistaa vuoden 2017 optimoinnin ja estää page cache -sivujen päätymisen kirjoitettavaan kohteeseen.

Päivitys 8.5.2026: Dirty Frag ja Copy Fail 2

Toinen samantyyppinen, Dirty Frag -nimellä tunnettu haavoittuvuus on raportoitu päivän aikana. Toinen tutkija on myös itsenäisesti julkaissut esimerkkikoodin samaan haavoittuvuuteen nimellä Copy Fail 2.

Haavoittuvuuden avulla on mahdollista korottaa paikallisen käyttäjän oikeudet pääkäyttäjäksi (root). Haavoittuvuus ketjuttaa kaksi erillistä haavoittuvuutta: `xfrm-ESP Page-Cache Write` (CVE-2026-43284) ja `RxRPC Page-Cache Write` (CVE-2026-43500).

Mitigaatio: tutki, voitko poistaa ympäristössäsi `esp4`, `esp6` ja `rxrpc`-moduulien latauksen käytöstä. Huomioi, että mitigaatio saattaa silti olla vain osittainen.

8. toukokuuta 2026 klo 23.15 Päivitetty tiedot ja viittaukset toiseen samantyyppiseen Linux-kernelin haavoittuvuuteen (Dirty Frag, Copy Fail 2)