https://www.knightli.com/tags/%E5%AE%B9%E5%99%A8%E5%AE%89%E5%85%A8/ Recent content in 容器安全 on KnightLi的博客 Hugo -- gohugo.io zh-cn Fri, 01 May 2026 18:42:34 +0800 https://www.knightli.com/2026/05/01/copy-fail-cve-2026-31431-linux-kernel-container-escape/ Fri, 01 May 2026 18:42:34 +0800 https://www.knightli.com/2026/05/01/copy-fail-cve-2026-31431-linux-kernel-container-escape/ <p>Copy Fail 是一个影响 Linux 内核文件复制路径的漏洞，编号为 <code>CVE-2026-31431</code>。 Bugcrowd 的分析把它称为一个值得关注的内核级问题：在特定条件下，非特权用户可以利用文件复制相关逻辑触发越权写入，进而造成权限提升或容器逃逸。</p> <p>从风险角度看，它不是普通应用层漏洞。 问题发生在内核处理文件复制和页面缓存的路径上，因此影响面会延伸到容器、共享主机、CI/CD Runner、PaaS 平台和多租户 Linux 环境。 如果攻击者已经能在系统里运行低权限代码，漏洞就可能成为进一步突破隔离边界的跳板。</p> <h2 id="漏洞大致发生在哪里">漏洞大致发生在哪里 </h2><p>Copy Fail 关联的是 Linux 内核中的文件复制能力。 现代 Linux 提供了多种高效复制路径，例如 <code>copy_file_range</code>、splice 类路径以及不同文件系统之间的数据复制优化。 这些机制的目标是减少用户态和内核态之间的数据搬运，提高大文件复制性能。</p> <p>问题在于，高性能复制路径通常会复用页缓存、文件偏移、权限检查和文件系统回调。 如果其中某个边界条件处理不严，内核可能在错误的权限上下文里执行写入，或者把本不应该被修改的数据页暴露给攻击者控制。</p> <p>Copy Fail 的核心风险可以概括为：</p> <ul> <li>攻击者不需要 root 权限；</li> <li>攻击入口来自常见文件复制能力；</li> <li>影响点在内核态；</li> <li>在容器环境里，漏洞可能绕过命名空间和挂载隔离；</li> <li>成功利用后可能写入宿主机上不应被容器修改的内容。</li> </ul> <p>这也是它被重点讨论的原因。 容器安全依赖 Linux 内核提供隔离能力，一旦内核路径本身出现越权写入，容器边界就会变得脆弱。</p> <h2 id="为什么容器场景更敏感">为什么容器场景更敏感 </h2><p>容器并不是虚拟机。 容器内进程和宿主机共享同一个 Linux 内核，只是通过 namespace、cgroup、capability、seccomp、AppArmor/SELinux 等机制做隔离。</p> <p>如果漏洞发生在用户态服务里，通常只影响某个容器或某个进程。 但如果漏洞发生在内核里，尤其是可以被非特权用户触发的内核漏洞，攻击者可能从容器内部影响宿主机。</p> <p>Copy Fail 的危险点就在这里。 很多平台允许用户提交构建任务、运行脚本、启动容器或执行插件。 攻击者只要能在容器里运行代码，就可能尝试利用内核文件复制路径突破隔离。</p> <p>高风险环境包括：</p> <ul> <li>Kubernetes 集群中的不可信工作负载；</li> <li>CI/CD 平台的共享 Runner；</li> <li>允许用户上传代码执行的沙箱平台；</li> <li>多租户 Linux 主机；</li> <li>容器化 PaaS；</li> <li>运行第三方插件或扩展的系统。</li> </ul> <p>如果这些环境里的内核版本处于受影响范围，而且缺少额外限制，风险就会明显升高。</p> <h2 id="受影响范围要看内核补丁状态">受影响范围要看内核补丁状态 </h2><p>这类漏洞的判断不能只看发行版名称。 同一个 Ubuntu、Debian、RHEL、Fedora 或 Arch 版本，是否受影响取决于当前实际运行的内核包，以及发行版是否已经回补补丁。</p> <p>排查时应优先确认三件事：</p> <ol> <li>当前运行内核版本；</li> <li>发行版安全公告是否提到 <code>CVE-2026-31431</code>；</li> <li>云厂商或托管平台是否已经完成宿主机内核修复。</li> </ol> <p>可以先在系统上确认内核版本：</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">uname -a </span></span></code></pre></td></tr></table> </div> </div><p>然后查看发行版安全公告、内核 changelog 或云平台公告。 不要只根据主版本号判断是否安全，因为很多企业发行版会把安全补丁回补到旧版本内核里。</p> <h2 id="临时缓解思路">临时缓解思路 </h2><p>最可靠的修复方式仍然是更新内核。 但在补丁无法立刻部署的环境里，可以先降低暴露面。</p> <p>常见缓解方向包括：</p> <ul> <li>禁止不可信用户运行特权容器；</li> <li>避免给容器挂载敏感宿主机路径；</li> <li>收紧容器 capability，尤其不要随意授予 <code>CAP_SYS_ADMIN</code>；</li> <li>使用 seccomp、AppArmor 或 SELinux 限制危险系统调用和文件访问；</li> <li>将不可信工作负载迁移到隔离更强的虚拟机；</li> <li>对 CI/CD Runner 做按任务销毁，避免长期复用同一宿主机；</li> <li>监控异常文件写入、权限变更和容器逃逸迹象。</li> </ul> <p>这些措施不能替代补丁。 它们的作用是降低攻击成功率和影响面，特别是在补丁发布到生产环境之前争取缓冲时间。</p> <h2 id="修复优先级">修复优先级 </h2><p>建议按环境风险排序处理。</p> <p>优先修复：</p> <ul> <li>对外提供容器执行能力的平台；</li> <li>运行不可信代码的 CI/CD 节点；</li> <li>多租户 Kubernetes 节点；</li> <li>有用户自定义插件或脚本执行能力的系统；</li> <li>共享开发机、教学机、实验平台。</li> </ul> <p>相对低优先级：</p> <ul> <li>单用户桌面；</li> <li>只运行可信服务的内网主机；</li> <li>已经使用虚拟机隔离不可信代码的环境。</li> </ul> <p>即便风险较低，也建议随发行版更新内核。 内核漏洞常常会被组合进更复杂的攻击链里，拖延补丁没有太多收益。</p> <h2 id="给运维团队的检查清单">给运维团队的检查清单 </h2><p>可以按下面顺序处理：</p> <ol> <li>盘点所有 Linux 主机和容器节点；</li> <li>标记会运行不可信代码的机器；</li> <li>检查当前内核版本和发行版安全公告；</li> <li>优先更新高风险节点；</li> <li>对无法立即更新的节点启用临时隔离策略；</li> <li>检查容器运行时配置，移除不必要的特权和宿主机挂载；</li> <li>更新后重启节点，确认新内核已经实际生效；</li> <li>保留变更记录，方便后续审计。</li> </ol> <p>内核包安装完成并不代表系统已经运行在新内核上。 更新后必须重启，并再次确认：</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">uname -a </span></span></code></pre></td></tr></table> </div> </div><h2 id="小结">小结 </h2><p>Copy Fail / <code>CVE-2026-31431</code> 的重点不是某个应用崩溃，而是 Linux 内核文件复制路径中的权限边界问题。 它让非特权代码有机会触碰更高权限的数据写入路径，因此在容器和多租户环境里尤其值得重视。</p> <p>处理这类漏洞时，最重要的是两件事：</p> <ul> <li>尽快跟进发行版或云厂商提供的内核补丁；</li> <li>在补丁部署前限制不可信代码、特权容器和敏感宿主机挂载。</li> </ul> <p>对个人桌面来说，它可能不是马上需要恐慌的问题。 但对运行容器平台、CI/CD、沙箱和共享主机的团队来说，应该把它当作高优先级内核安全更新处理。</p> <p>参考来源：</p> <ul> <li><a class="link" href="https://www.bugcrowd.com/blog/what-we-know-about-copy-fail-cve-2026-31431/" target="_blank" rel="noopener" >Bugcrowd：What We Know About Copy Fail CVE-2026-31431</a></li> <li><a class="link" href="https://copy.fail/" target="_blank" rel="noopener" >Copy Fail 官方说明</a></li> </ul>