Содержание
    01.05.2026

    Обращаем внимание на критическую уязвимость CVE-2026-31431 (Copy Fail), которая позволяет непривилегированному пользователю получить права суперпользователя (root).

    Проблема связана с логической ошибкой в криптографическом API ядра Linux (AF_ALG). Она возникла после оптимизации, добавленной в 2017 году, где была убрана лишняя буферизация за счёт выполнения операций блочного шифрования AEAD (Authenticated Encryption with Associated Data) «на месте» (in-place).

    Мы уже внедрили патчи во все дистрибутивы ОС, доступные у нас для автоматической установки на VPS и Dedicated, поэтому для новых установок дополнительные действия не требуются.

    Учитывая, что уязвимость затрагивает большинство популярных Linux-дистрибутивов, рекомендуем как можно быстрее принять меры по защите ваших систем на VPS и на Dedicated.

    Ubuntu и Debian

    В качестве временного решения без перезагрузки можно отключить уязвимый модуль:

    echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
    rmmod algif_aead

    Альтернативный способ — добавить следующий параметр загрузки ядра:

    initcall_blacklist=algif_aead_init

    Для этого выполните следующее:

    1. Откройте файл /etc/default/grub.
    2. Добавьте параметр в GRUB_CMDLINE_LINUX_DEFAULT. Например, если строка выглядит как GRUB_CMDLINE_LINUX_DEFAULT="quiet splash", то дополните её параметром initcall_blacklist=algif_aead_init, чтобы она в итоге выглядела как GRUB_CMDLINE_LINUX_DEFAULT="quiet splash initcall_blacklist=algif_aead_init".
    3. Обновите конфигурацию GRUB командой update-grub.
    4. При успешном обновлении GRUB перезагрузите систему командой reboot. Если GRUB обновился с ошибкой, устраните её в конфигурации.

    При появлении новой версии ядра с патчем рекомендуем обновиться на него.

    Страница для отслеживания статуса уязвимости в Ubuntu: https://ubuntu.com/security/CVE-2026-31431#references

    Страница для отслеживания статуса уязвимости в Debian: https://security-tracker.debian.org/tracker/CVE-2026-31431

    RHEL (CentOS, AlmaLinux, Rocky Linux и др.)

    Используйте следующий способ:

    sudo grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"
    sudo reboot

    При появлении новой версии ядра с патчем рекомендуем обновиться на него.

    Страница для отслеживания статуса уязвимости: https://access.redhat.com/security/cve/cve-2026-31431

    ArchLinux

    1. Откройте файл /etc/default/grub.
    2. Добавьте параметр в GRUB_CMDLINE_LINUX_DEFAULT. Например, если строка выглядит как GRUB_CMDLINE_LINUX_DEFAULT="quiet splash", то дополните её параметром initcall_blacklist=algif_aead_init, чтобы она в итоге выглядела как GRUB_CMDLINE_LINUX_DEFAULT="quiet splash initcall_blacklist=algif_aead_init".
    3. Обновите конфигурацию GRUB командой grub-mkconfig -o /boot/grub/grub.cfg.
    4. При успешном обновлении GRUB перезагрузите систему командой reboot. Если GRUB обновился с ошибкой, устраните её в конфигурации.

    При появлении новой версии ядра с патчем рекомендуем обновиться на него.

    Страница для отслеживания статуса уязвимости: https://security.archlinux.org/CVE-2026-31431

    openSUSE

    На момент написания статьи исправления уязвимости ещё нет, но можно также отключить загрузку модуля.

    При появлении новой версии ядра с патчем рекомендуем обновиться на него.

    Страница для отслеживания статуса уязвимости: https://www.suse.com/security/cve/CVE-2026-31431.html

    Другие дистрибутивы

    Для других дистрибутивов принцип аналогичен — можно прописать initcall_blacklist=algif_aead_init в параметры загрузки ядра или дождаться официального обновления с патчами.