Linux 九年漏洞"Copy Fail"曝光：普通用户秒变 root，容器也能逃逸！

这事儿其实是个”代码蝴蝶效应”#

这事儿其实是个极其荒诞的”代码蝴蝶效应”。在这个漏洞里，有三个本来完全独立、单独看毫无毛病的代码提交，在 2017 年那会儿倒霉地撞在了一起：

1. 第一位老哥（2011年）： 写了个叫 authencesn 的底层加密模板。他有个坏习惯，在处理数据时，喜欢把”输出文件筐”当成临时草稿纸，往里写点暂存数据。

2. 第二位老哥（2015年）： 搞了个新功能，允许系统把”只读的文件缓存”直接塞进”输入文件筐”里，为的是少复制一次数据，跑得更快。

3. 第三位老哥（2017年）： 为了搞极致的”性能优化”，一拍脑袋说：既然输入和输出最终是同一批数据，咱们别来回倒腾了，直接让”输入文件筐”和”输出文件筐”变成同一个吧！（这就是所谓的 in-place 原地模式）。

结果这三个机制一碰头，灾难降临了：第三位老哥把”只读文件”和”输出筐”融为了一体，而第一位老哥还在按照老习惯，傻乎乎地往”输出筐”里乱写草稿。这就导致，一个普通用户通过 algif_aead 接口调用这个模块时，能精准地把 4 个字节 的恶意指令写进原本受内核保护的只读文件里！就靠这 4 个字节，黑客就能篡改 /usr/bin/su 等系统关键文件，原地升仙变成 root。

影响范围#

别查了，只要你的 Linux 是 2017 年之后装的主流系统，不管是 Ubuntu、红帽还是亚马逊云的机器，几乎全军覆没。

官方的修复方法很简单粗暴：把第三位老哥的那个”性能优化”给撤了（回退为 out-of-place 模式），宁愿机器跑得稍微慢点，也绝对不让只读文件进到可写的框里。

紧急修复方案#

对咱们自己管服务器、玩 VPS 的玩家来说，现在只有两条路：

1
# 更新软件源并升级内核
2
sudo apt update && sudo apt upgrade
3

4
# 或者只升级内核包
5
sudo apt install linux-image-generic linux-headers-generic
6

7
# 重启系统
8
sudo reboot

1
# 更新内核
2
sudo yum update kernel
3

4
# 或使用 dnf（较新版本）
5
sudo dnf update kernel
6

7
# 重启系统
8
sudo reboot

1
# 更新系统
2
sudo yum update
3

4
# 重启系统
5
sudo reboot

1
# 查看当前内核版本
2
uname -r
3

4
# 确认补丁已生效（以下命令应该返回空，表示模块被正确禁用）
5
cat /sys/kernel/crypto/algif_aead 2>/dev/null || echo "模块已禁用或不存在"

1
# 将 algif_aead 模块加入黑名单，阻止其被加载
2
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
3

4
# 尝试卸载已加载的模块（如果存在）
5
rmmod algif_aead 2>/dev/null || true
6

7
# 详细原理解释：
8
# 这个漏洞的"根"确实在底层的 authencesn 加密模板，但黑客想利用它，必须通过 algif_aead 这个用户态接口才能触及。
9
# 我们把 algif_aead 封死，就等于切断了从用户空间到漏洞模块的调用链，让黑客根本没机会触发那个"越界写草稿"的流程。
10
#
11
# 这里的 "install" 指令是一个拦截钩子（Hook），告诉内核：
12
# "当你要加载 algif_aead 这个模块时，不要执行默认动作，而是去执行 /bin/false"。
13
# /bin/false 只会返回失败状态码，于是模块加载请求被直接阻断。
14
#
15
# rmmod 命令则是为了处理"模块已经加载在内存里"的情况——黑名单只能阻止新加载，管不了已经在跑的。
16
# 执行完这两步，就能在不重启服务器的前提下彻底封堵漏洞入口。
17
#
18
# 好消息：官方确认，禁用 algif_aead 不会影响 dm-crypt/LUKS 磁盘加密、IPsec VPN、
19
# OpenSSL、SSH 等常用功能，因为它们底层走的是其他加密接口，压根不经过这个模块。