Resumo
-
descoberta por pesquisadores, a falha Copy Fail permite privilégios indevidos de administrador em diversas distribuições lançadas desde 2017; risco é maior para aplicações profissionais;
-
especialistas afirmam que o impacto para usuários domésticos é baixo por falha exigir acesso local; atualizações do kernel já estão corrigindo o problema;
-
erro reside na cópia de dados em um módulo criptográfico do kernel LInux; empresas como Red Hat e Canonical já liberaram correções.
Desde a semana passada que a comunidade Linux tem se movimentado em torno de uma preocupação: a descoberta de uma vulnerabilidade batizada de “Copy Fail” que afeta praticamente todas as distribuições lançadas desde 2017. Mas quão grave é esse problema, especialmente para usuários domésticos?
A falha foi descoberta por pesquisadores da empresa de segurança Theori com auxílio do Xint Code, uma ferramenta de análise baseada em IA e desenvolvida pela própria companhia. O problema foi divulgado em 29 de abril e, nos dias seguintes, ganhou ampla repercussão devido ao seu, digamos, potencial destrutivo.
Mas o que é a falha Copy Fail?
Identificada formalmente como CVE-2026-31431, a falha Copy Fail permite que um usuário local (comum) tenha acesso indevido a determinados recursos do sistema usando privilégios de administrador (root).
Isso pode ser usado para captura de dados, implantação de código malicioso, modificação de configurações de segurança, monitoramento oculto (espionagem), entre várias outras ações. Está aí a principal razão para essa falha ser considerada grave.
A denominação “Copy Fail” (“Falha de Cópia”, em tradução livre) tem relação com a dinâmica que leva à vulnerabilidade. O problema reside na falha de uma operação de cópia de dados dentro de um módulo criptográfico do kernel Linux chamado algif_aead.
Sob determinadas circunstâncias, o kernel pode sobrescrever indevidamente 4 bytes de uma página associada ao page cache, estrutura que mantém, na memória, dados muito acessados, como executáveis e bibliotecas.
Embora o problema envolva apenas 4 bytes por operação, pesquisadores demonstraram que a falha pode ser explorada para modificar arquivos mapeados em memória e, assim, permitir que privilégios de administrador sejam obtidos indevidamente. A tal demonstração foi feita com um script em Python de apenas 732 bytes.
O outro ponto de alerta está no alcance do problema. A falha CVE-2026-31431 afeta as versões do kernel lançadas a partir de 2017, começando pela 4.14. É por isso que tantas distribuições ficaram vulneráveis. Para você ter ideia, o problema foi testado em sistemas como Ubuntu 24.04 LTS, Amazon Linux 2023, SUSE 16 e Red Hat Enterprise Linux 10.1.
Devo me preocupar com a falha Copy Fail?
A Theori criou um site para a falha Copy Fail. Ali, a companhia explica que o risco para usuários domésticos (com notebooks e desktops) é baixo. Uma das razões disso é que a vulnerabilidade não pode ser explorada remotamente, isto é, requer acesso local.
O risco é elevado para aplicações profissionais, como aquelas que executam ambientes multiusuário, clusters Kubernetes e serviços de SaaS. Isso porque, neles, vários agentes (como usuários, contêineres ou workloads) compartilham o kernel e, portanto, o mesmo page cache.
Para servidores Linux convencionais, o risco é considerado médio, pois eles costumam ser acessados por um número restrito de administradores, o que resulta em menos compartilhamento do page cache.
Para todos os casos, leve em conta que atualizações do kernel Linux corrigem o problema. E elas começaram a ser liberadas sem demora. SUSE, Canonical (Ubuntu) e Red Hat já têm ou estão trabalhando em soluções, só para você ter ideia.
Em resumo: a falha Copy Fail é importante e deve ser corrigida, mas sem drama. Se você é um usuário doméstico, basta manter a sua distribuição Linux atualizada. Para organizações, convém buscar as orientações dos mantenedores da distribuição em uso conforme a criticidade de cada aplicação.
Copy Fail: entenda a falha que afeta o Linux, mas não é motivo de alarde