Müşteri Paneli

Yardım ve Bilgiler

Duyurular

Kritik - DirectAdmin Güvenlik Açığı - CVE-2026-31431 (CopyFail)
Thursday, April 30, 2026

Merhabalar,

Güvenlik ekibimiz olarak, 29 Nisan 2026 tarihinde kamuoyuyla paylaşılan ve CVSS 7.8 puanıyla YÜKSEK olarak değerlendirilen CVE-2026-31431 (CopyFail) güvenlik açığı hakkında sizi bilgilendirmek isteriz. Bu açık, 2017'den bu yana Linux çekirdeğinde bulunan ve yerel bir kullanıcının sistemi tamamen ele geçirmesine (root) olanak tanıyan kritik önem taşıyan bir yerel ayrıcalık yükseltme (Local Privilege Escalation — LPE) açığıdır.

AÇIK BİLGİSİ

CVE        : CVE-2026-31431
Takma Ad   : CopyFail
Tip        : Local Privilege Escalation (Yerel Ayrıcalık Yükseltme)
CVSS       : 7.8 / 10 (YÜKSEK)
Modül      : Linux Kernel — crypto/algif_aead.c (authencesn şablonu)
Etkilenen  : Kernel 4.14 (2017) ile 7.0 arası TÜM sürümler
             Ubuntu, RHEL, AlmaLinux, CloudLinux, SUSE, Amazon Linux
             (EL8 ve EL9 tabanlı sistemler dahil)
Yamalı     : 6.18.22, 6.19.12, 7.0+
Yayın      : 29 Nisan 2026 — Theori / Xint Code Research
PoC        : Kamuya açık — 732 baytlık Python 3.10+ scripti
Durum      : Yamalı kernel henüz bazı dağıtımlarda yayımlanmamıştır
Referans   : https://xint.io/blog/copy-fail-linux-distributions
             https://copy.fail/

RİSK

Açık, Linux çekirdeğinin algif_aead kripto modülündeki bir mantık hatasından kaynaklanmaktadır. 2017 yılında eklenen bir optimizasyon nedeniyle, ayrıcalıksız yerel bir kullanıcı AF_ALG soketi ve splice() sistem çağrısını birleştirerek sistemdeki herhangi bir okunabilir dosyanın sayfa önbelleğine (page cache) 4 bayt yazabilmektedir.

Saldırgan bu ilkel yazma yetkisini /usr/bin/su gibi bir setuid ikili dosyasına yönlendirip dosyanın bellek kopyasını bozarak root kabuğu elde etmektedir. Dirty Cow ve Dirty Pipe'ın aksine bu açık yarış koşulu gerektirmez; tek seferlik, belirleyici ve güvenilir şekilde çalışır. Aynı 732 baytlık Python scripti, dağıtım veya mimari fark gözetmeksizin tüm etkilenen sistemlerde başarıyla çalışmaktadır.

Önemli Not: Bu açık yalnızca yerel erişim gerektirmektedir. Ancak paylaşımlı hosting ortamları, çok kiracılı sunucular, VPS'ler ve konteyner tabanlı altyapılar (Docker, LXC) en yüksek risk altındadır. Konteynerden çıkış (container escape) ilkeli olarak da kullanılabilmektedir.

ETKİLENEN SUNUCULAR

Kernel 4.14 ile 7.0 arasındaki tüm sürümler etkilenmektedir. EL6 (kernel 2.6.32) ve EL7 (kernel 3.10.0) tabanlı sistemler bu açıktan etkilenmemektedir. EL8 (kernel 4.18.x) ve EL9 (kernel 5.14.x) tabanlı sistemler etkilenmektedir.

Kernel sürümünüzü doğrulamak için:

uname -r

Modülün yerleşik mi yoksa yüklenebilir mi olduğunu anlamak için:

grep CONFIG_CRYPTO_USER_API_AEAD /boot/config-$(uname -r)

Sonuç =m ise modprobe yöntemi yeterlidir. Sonuç =y ise kernel parametresi yaklaşımı zorunludur (aşağıya bakınız).

ÖNERİLEN AKSİYON (ACİL)

Kalıcı çözüm yamalı kernel sürümüne geçmektir. Yamanın henüz yayımlanmadığı dağıtımlarda (CloudLinux, AlmaLinux) aşağıdaki geçici önlemler uygulanmalıdır:

1. Modül konfigürasyonunu kontrol edin (=m ise bu adım yeterlidir):

grep CONFIG_CRYPTO_USER_API_AEAD /boot/config-$(uname -r)

2. Modprobe ile devre dışı bırakın (=m olan sistemler için):

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead 2>/dev/null

3. Kernel parametresi ile devre dışı bırakın (=y olan sistemler için — yeniden başlatma gerektirir):

echo 'GRUB_CMDLINE_LINUX_DEFAULT="${GRUB_CMDLINE_LINUX_DEFAULT} initcall_blacklist=algif_aead_init"' >> /etc/default/grub
grub2-mkconfig -o /etc/grub2.cfg
grubby --args initcall_blacklist=algif_aead_init --update-kernel=ALL
reboot -y

Dikkat, işlem sunucunuzu yeniden başlatacaktır.

4. CloudLinux / AlmaLinux sistemlerde yamalı kernel yayımlandığında güncelleyin:

yum update kernel
reboot -y

5. Geçici önlemin etkin olup olmadığını doğrulayın (modül yüklenemiyorsa korunuyorsunuz demektir):

modprobe algif_aead

# Beklenen çıktı: modprobe: ERROR: could not insert 'algif_aead': ...

6. Otomatik güncellemeyi aktif hâle getirin ve CloudLinux Status Page'i takip edin:
https://cloudlinux.statuspage.io

NOT: algif_aead modülünü devre dışı bırakmak; dm-crypt, LUKS, SSH, OpenSSL ve IPsec gibi yaygın hizmetleri etkilemez. Yalnızca AF_ALG üzerinden AEAD işlemi gerçekleştiren nadir kullanıcı alanı uygulamalar etkilenebilir. Standart hosting ortamlarında böyle bir bağımlılık bulunmamaktadır.

YAMANIN YAYIMLANMA DURUMU (30 Nisan 2026 itibarıyla)

Ubuntu / Debian   Yama yayımlandı
SUSE              Yama yayımlandı
RHEL / Rocky      Yama sürecinde 
AlmaLinux         Henüz yayımlanmadı       — geçici önlem uygulanmalı
CloudLinux        Kernel ekibi çalışıyor   — KernelCare yaması bekleniyor

Herhangi bir sorunuz olması veya sunucularınızda inceleme yapılmasını talep etmeniz hâlinde destek ekibimiz 7/24 hizmetinizdedir.

Saygılarımızla,
Netdirekt A.Ş. - Güvenlik Operasyonları

<< Önceki Sayfa