CVE-2026-31431

Nome do Software Vulnerável e Versões Afetadas Linux kernel versões anteriores a 5.10.254 Linux kernel versões anteriores a 5.15.204 Linux kernel versões anteriores a 6.1.170 Linux kernel versões anteriores a 6.6.137 Linux kernel versões anteriores a 6.12.85

Description Uma falha de lógica na implementação de criptografia AEAD do kernel Linux, especificamente no módulo algif aead, permite que um usuário local não privilegiado escale seus privilégios para root. O problema decorre de uma otimização in-place durante o processamento de listas scatter-gather que não valida adequadamente as solicitações. Ao combinar sockets AF ALG e a função splice(), um invasor pode realizar uma gravação determinística de quatro bytes diretamente no page cache do kernel. Isso permite a corrupção da cópia em memória de qualquer arquivo legível, como binários setuid (ex: /usr/bin/su), sem alterar o arquivo no disco. Esta técnica pode ser usada para burlar a autenticação ou executar código arbitrário com privilégios de root. Em ambientes Kubernetes, isso pode levar à fuga de container; se um DaemonSet privilegiado (como o kube-proxy) compartilhar camadas de imagem com um container não privilegiado, o invasor pode corromper um binário usado pelo container privilegiado para obter a execução de código no nível do nó.

Recommendations Atualize o kernel Linux para as versões 5.10.254, 5.15.204, 6.1.170, 6.6.137, 6.12.85 ou qualquer versão mais recente que contenha a correção. Como mitigação temporária, restrinja o uso da função splice() em conjunto com sockets AF ALG para minimizar o risco de exploração.