Uma falha de segurança chamada “Copy Fail” (CVE-2026-31431) foi encontrada no kernel do Linux. Ela afeta quase todas as principais distribuições Linux – incluindo Ubuntu, Debian, RHEL, Amazon Linux, SUSE, Fedora e outras – em qualquer kernel compilado entre 2017 e a data atual.
A vulnerabilidade permite que um usuário local obtenha acesso administrativo completo a um servidor. Ela também pode afetar ambientes conteinerizados.
O impacto técnico é significativo porque o kernel utiliza o page cache ao carregar binários. Na prática, ao modificar a cópia em cache de um arquivo, o invasor consegue alterar o comportamento de execução de um binário sem modificar diretamente o arquivo no disco. Isso também evita a ativação de mecanismos de detecção baseados em eventos do sistema de arquivos, como inotify, dificultando a visibilidade por ferramentas que monitoram apenas alterações persistentes.
A falha não pode ser explorada remotamente de forma isolada. No entanto, seu risco aumenta consideravelmente quando combinada com outros vetores, como execução remota de código em uma aplicação web, comprometimento via SSH, pipelines de CI/CD maliciosos ou ambientes que executam código não confiável. Por isso, o alerta é especialmente relevante para sistemas Linux multi-tenant, containers com kernel compartilhado, runners de CI e nós Kubernetes.
Redação Rioforense
