ثغرة Copy Fail فـ Linux Kernel: كيفاش تقدر تولي Root وتسالي مع الحماية

كاين نايضة فـ العالم ديال Linux هاد الأيام بسباب واحد الثغرة خطيرة سميتها "Copy Fail". هاد الثغرة كتعطي لأي مستخدم عادي (unprivileged local user) الصلاحيات الكاملة ديال root على السيسطيم. هاد المشكل مسجل بـ كود CVE-2026-31431، وكاين فـ القلب ديال kernel وتحديدا فـ cryptographic subsystem، وتقريباً قايس كاع النسخ (distributions) اللي خرجو من 2017 لبا دابا. الباحثين فـ الحماية قدروا يبينو بلي غير Script صغير ديال Python فيه 732 byte كافي باش يطير الحماية ديال سيسطيمات بحال Ubuntu و Red Hat.

باختصار (TL;DR)

الثغرة CVE-2026-31431 (المعروفة بـ Copy Fail) هي ثغرة من نوع Local Privilege Escalation (LPE) كاينة فـ الموديل algif_aead ديال Linux kernel. هاد الثغرة كتخلي أي واحد يكتب 4 ديال bytes فـ الـ page cache ديال أي ملف كيقدر يقراه، وهادشي كيتستعمل باش يتهاجاكاو (hijack) ملفات الـ setuid ويولي عند المهاجم صلاحيات root. الثغرة خدامة مزيان حتى وسط الـ containers وخاصها تدار ليها patch دغيا فـ كاع السيسطيمات.

---

شنو واقع فـ الكواليس: غلط فـ المنطق ديال algif_aead

الباحثين فـ Xint.io و Theori لقاو بلي الثغرة جاية من واحد الغلط فـ المنطق (logic flaw) داخل الـ cryptographic subsystem. المشكل كاين فـ الموديل algif_aead اللي مكلف بـ التشفير من نوع Authenticated Encryption with Associated Data (AEAD).

أصل هاد الصداع كيرجع لواحد الـ commit تدار فـ الكود ديال الـ kernel فـ أغسطس 2017. هاد التغيير كان غرضو يدير واحد الـ "in-place optimization" باش يسرع الخدمة، ولكن صدق كيسمح لواحد الـ page فـ الـ cache باش تولي فـ الـ writable destination scatterlist فاش كتكون كدار شي عملية ديال AEAD.

مصطلحات تقنية للناس للي عاد بادين:

• Page Cache: واحد البلاصة مؤقتة (buffer) فـ RAM فين الـ kernel كيحط المعلومات اللي يلاه تقراو من الديسك باش المرة الجاية يجبدهم بسرعة.
• Setuid Binary: هو واحد الملف اللي فاش كتخدمو، كيتنفذ بـ الصلاحيات ديال مول الملف (غالباً root) ماشي بـ الصلاحيات ديال المستخدم اللي ورك عليه (مثال: /usr/bin/su).
• Scatterlist: واحد الهيكلة ديال البيانات (data structure) فـ الـ kernel كتنظم الذاكرة اللي مشتتة فـ بلايص مختلفة.

بـ استعمال هاد الـ optimization عن طريق AF_ALG socket (اللي هو واجهة كتوصل للوظائف ديال التشفير فـ الـ kernel من الـ user space)، المهاجم كيقدر يخدم الـ system call اللي سميتو splice() باش يكتب فـ الـ page cache ديال شي ملف هو أصلاً ما عندوش الحق يموديفيه.

الخطورة والقدرة على الاختراق

الباحثين سماو الثغرة Copy Fail حيت كتقدر تخسر الـ "copy" ديال الملف اللي كاين فـ الميموار (cache). وخا هي كتشبه لثغرة "Dirty Pipe" (CVE-2022-0847) اللي بانت فـ 2022، ولكن هادي كاينة فـ subsystem آخر كاع.

علاش هاد الثغرة خطيرة بزاف؟

1. Reliability (الموثوقية): هاد الـ exploit ماشي بحال بزاف ديال الـ kernel exploits اللي كيحتاجو التوقيت يكون مضبوط (race condition)، هادي خدامة 100%.
2. الحجم: الـ exploit يقدر يتجمع فـ Script ديال Python فيه غير 732 byte.
3. Cross-Container Escape: حيت الـ page cache كيتشارك فـ السيسطيم كامل بين كاع الـ processes والـ namespaces، هاد الـ exploit يقدر يخرج من وسط container ويقيس الـ host.
4. السرية: كتخلي حساب عادي يتخطى الـ sandboxing ويولي Administrator بلا ما يعيق بيه حد.

الأنظمة اللي مهددة

بما أن الكود اللي فيه المشكل دخل فـ 2017، فـ كاع الـ Linux distributions اللي خرجوا فـ هاد 9 سنين اللخرة راهم مهددين يلا ماندارش ليهم patch. هادو بعض الأنظمة اللي تأكد باللي فيهم الثغرة:

• Ubuntu
• Red Hat Enterprise Linux (RHEL)
• Amazon Linux
• SUSE
• Debian
• Arch Linux
• Gentoo
• CloudLinux

كيفاش كيخدم الـ Exploit؟

على حساب التحليل التقني، الهجمة كتدوز من 4 ديال المراحل أساسية:

1. حل AF_ALG socket: الـ script كيدير bind للـ authencesn(hmac(sha256),cbc(aes)).
2. توجاد الـ Shellcode: المهاجم كيوجد واحد الـ payload صغير.
3. تخريب الـ Page Cache: الـ script كيفرض عملية ديال كتيبة فـ الـ cached copy ديال شي ملف حساس فـ الـ kernel (بحال /usr/bin/su).
4. التنفيذ: المهاجم كيعيط لـ execve("/usr/bin/su"). وبما أن النسخة اللي فـ RAM تموديفات بـ هادوك 4 bytes اللي زاد المهاجم، السيسطيم غادي ينفذ الـ code المزور بـ صلاحيات root.

نصائح للـ Sysadmins فـ المغرب

بالنسبة للناس اللي شادين الـ infrastructure فـ المغرب—سواء كانو خدامين بـ servers محليين (Data centers) أو فـ Cloud بحال AWS—هاد التحديث ضروري وفوري.

• دير Patch دابا: كاع الشركات ديال الـ Linux خرجو التحديثات. خاصك تـ update الـ kernel لأخر نسخة.
• Kernel Commit: التأكيد ديال الإصلاح كاين فـ الـ commit رقم 72548b093ee3. كأدمن، تأكد بلي الـ kernel ديالك فيه هاد الإصلاح.
• قلب الـ Container Hosts: حيت الثغرة كتقدر تخرج من الـ container، فأهم حاجة هي تـ patch-ي الـ Host OS باش تحمي كاع الـ containers اللي فوق منو.

وخا الميكانزمات ديال الـ update كتختالف على حساب السيسطيم (apt, yum, zypper)، خاصك ضروري تقلب على آخر تحديثات أمنية خرجات فـ أبريل 2026.

خلاصة

ثغرة Copy Fail كتمثل واحد الـ "primitive" قوي فـ عالم الاختراق ديال Linux: هي سهلة، صغيرة فـ الحجم، وكتعطي root بكل ثقة. فـ واحد العالم اللي كنعتامدو فيه على الـ kernel باش يحط حدود بين المستخدمين، CVE-2026-31431 كتفكرنا بلي غلط صغير فـ تحسين الكود (optimization) يقدر يبقى مخبي سنين ويهدد أمن الملايين ديال السيرفورات.

المصدر: The Hacker News - New Linux 'Copy Fail' Vulnerability Enables Root Access on Major Distributions