Обращаем внимание на критическую уязвимость CVE-2026-31431 (Copy Fail), которая позволяет непривилегированному пользователю получить права суперпользователя (root).
Проблема связана с логической ошибкой в криптографическом API ядра Linux (AF_ALG). Она возникла после оптимизации, добавленной в 2017 году, где была убрана лишняя буферизация за счёт выполнения операций блочного шифрования AEAD (Authenticated Encryption with Associated Data) «на месте» (in-place).
Мы уже внедрили патчи во все дистрибутивы ОС, доступные у нас для автоматической установки на VPS и Dedicated, поэтому для новых установок дополнительные действия не требуются.
Учитывая, что уязвимость затрагивает большинство популярных Linux-дистрибутивов, рекомендуем как можно быстрее принять меры по защите ваших систем на VPS и на Dedicated.
Ubuntu и Debian
В качестве временного решения без перезагрузки можно отключить уязвимый модуль:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aeadАльтернативный способ — добавить следующий параметр загрузки ядра:
initcall_blacklist=algif_aead_initДля этого выполните следующее:
- Откройте файл
./etc/default/grub - Добавьте параметр в
. Например, если строка выглядит какGRUB_CMDLINE_LINUX_DEFAULT, то дополните её параметромGRUB_CMDLINE_LINUX_DEFAULT="quiet splash", чтобы она в итоге выглядела какinitcall_blacklist=algif_aead_initG.RUB_CMDLINE_LINUX_DEFAULT="quiet splash initcall_blacklist=algif_aead_init" - Обновите конфигурацию GRUB командой
.update-grub - При успешном обновлении GRUB перезагрузите систему командой
. Если GRUB обновился с ошибкой, устраните её в конфигурации.reboot
При появлении новой версии ядра с патчем рекомендуем обновиться на него.
Страница для отслеживания статуса уязвимости в Ubuntu: https://ubuntu.com/security/CVE-2026-31431#references
Страница для отслеживания статуса уязвимости в Debian: https://security-tracker.debian.org/tracker/CVE-2026-31431
RHEL (CentOS, AlmaLinux, Rocky Linux и др.)
Используйте следующий способ:
sudo grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"
sudo rebootПри появлении новой версии ядра с патчем рекомендуем обновиться на него.
Страница для отслеживания статуса уязвимости: https://access.redhat.com/security/cve/cve-2026-31431
ArchLinux
- Откройте файл
./etc/default/grub - Добавьте параметр в
. Например, если строка выглядит какGRUB_CMDLINE_LINUX_DEFAULT, то дополните её параметромGRUB_CMDLINE_LINUX_DEFAULT="quiet splash", чтобы она в итоге выглядела какinitcall_blacklist=algif_aead_init.GRUB_CMDLINE_LINUX_DEFAULT="quiet splash initcall_blacklist=algif_aead_init" - Обновите конфигурацию GRUB командой
.grub-mkconfig -o /boot/grub/grub.cfg - При успешном обновлении GRUB перезагрузите систему командой
. Если GRUB обновился с ошибкой, устраните её в конфигурации.reboot
При появлении новой версии ядра с патчем рекомендуем обновиться на него.
Страница для отслеживания статуса уязвимости: https://security.archlinux.org/CVE-2026-31431
openSUSE
На момент написания статьи исправления уязвимости ещё нет, но можно также отключить загрузку модуля.
При появлении новой версии ядра с патчем рекомендуем обновиться на него.
Страница для отслеживания статуса уязвимости: https://www.suse.com/security/cve/CVE-2026-31431.html
Другие дистрибутивы
Для других дистрибутивов принцип аналогичен — можно прописать в параметры загрузки ядра или дождаться официального обновления с патчами.initcall_blacklist=algif_aead_init