文档反馈官招募中,报名立赚积分兑换代金券!> HOT
文档中心>TencentOS Server>产品动态>产品公告>Linux Kernel 本地提权公告(CVE-2026-31431)

Linux Kernel 本地提权公告(CVE-2026-31431)

最近更新时间:2026-05-04 22:18:02

我的收藏

本页目录:

TencentOS Server 安全团队监测到 CVE 官网披露 Linux 内核 algif_aead 模块(AF_ALG 加密接口)本地权限提升漏洞(CVE-2026-31431),该漏洞源于 2017 年引入的 authencesn 解密路径原地(in-place)操作优化存在逻辑缺陷。该漏洞影响 TencentOS Server 2、TencentOS Server 3、TencentOS Server 4的产品。监测到漏洞情报后,安全团队第一时间对漏洞进行分析和修复。
注意:
若您已使用 TencentOS Server,建议您及时开展风险自查,如受影响,请及时根据 TencentOS Server 提供的方案进行防护,确保您的系统安全。

1. 漏洞详情

Linux 内核的 algif_aead 模块(AF_ALG 加密接口)是用户态程序使用内核 AEAD(带关联数据的认证加密)算法的网络协议族接口,广泛存在于 2017年后发布的所有主流 Linux 发行版本。攻击者需具备本地普通用户或容器内代码执行权限,在未修复的 Linux 内核(4.14及以后版本),攻击者通过创建 AF ALG 套接字,结合 splice() 与 authencesn 模板触发缺陷,向任意可读文件的 page cache 写入受控字节,最终篡改 setuid 可执行文件获取 root 权限。
警告:
目前该漏洞的漏洞细节、POC 已公开,需要您尽快进行处理,以免出现安全事件。

2. 受影响 TencentOS Server 版本

TencentOS Server 4
TencentOS Server 3.3(TK4)
TencentOS Server 3.1(TK4)
TencentOS Server 2.4(TK4)

3. 临时缓解措施

注意:
该漏洞利用了algif_aead模块,若您的业务使用了此模块,需要根据业务情况,评估后再禁用该模块。
查看是否加载 algif_aead 模块:
lsmod | grep algif_aead  #确认是否有加载 algif_aead
若有输出,则表示已经加载,需要执行卸载命令并禁用该模块(需 root 权限)。
# 立即卸载模块(如已加载)
sudo rmmod algif_aead

# 禁用该模块
sudo echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
若检查 algif_aead 模块没有输出,则禁止加载algif_aead 模块(需 root 权限)。
# 禁用该模块
sudo echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
缓解验证
grep -r "install algif_aead /bin/false" /etc/modprobe.d/disable-algif-aead.conf
返回 install algif_aead /bin/false 表示配置已生效,服务器重启后模块也不会被再次加载。

4. 漏洞修复方案

TencentOS Server 已完成该漏洞修复。建议受影响用户通过官方软件源更新至对应内核修复版本,并在业务变更窗口重启系统,使修复后的内核生效。
系统版本
修复后内核版本
TencentOS Server 2.4(TK4)
5.4.119-19.0009.65.1.tl2
TencentOS Server 3.1(TK4)
5.4.119-19.0009.65.1.tl3
TencentOS Server 3.3(TK4)
5.4.241-24.0017.32.1.tl3
TencentOS Server 4
6.6.117-45.7.tl4
各系统版本的修复命令如下:
#TencentOS Server 2.4(TK4)
yum install kernel-5.4.119-19.0009.65.1.tl2 -y
 
#TencentOS Server 3.1(TK4)
dnf install kernel-5.4.119-19.0009.65.1.tl3 -y
 
#TencentOS Server 3.3(TK4)
dnf install kernel-5.4.241-24.0017.32.1.tl3 -y

#TencentOS Server 4
dnf install kernel-6.6.117-45.7.tl4 -y
完成内核更新后,请在业务变更窗口完成系统重启。
重启后,执行以下命令确认当前运行内核已切换至修复版本:
uname -r
确认输出内核版本不低于对应 TencentOS Server 修复版本后,可视为内核侧修复已生效。若此前配置过临时禁止加载规则,可在确认业务需要与风险可控后,再按变更流程评估是否保留或移除该配置。
中国站