Akut säkerhetspatch – CVE-2026-31431 ("Copy Fail")

Vad har hänt

Igår kväll publicerades CVE-2026-31431, en kritisk sårbarhet i Linux-kärnan (modulen algif_aead / AF_ALG) som tillåter en lokal användare att eskalera till root via en kort exploit. Sårbarheten finns i princip i alla Linux-kärnor sedan 2017 och berör samtliga RHEL-baserade distributioner, inklusive CloudLinux och AlmaLinux som vi använder i delar av vår plattform.

Med flera kunder som har shared/multitenant-miljöer bedömde vi att risken var för hög för att avvakta ordinarie servicefönster.

Inga tecken på exploit i våra miljöer, inga data påverkade.

Vad vi har gjort

Vi har under dagen rullat ut den officiella mitigationen från CloudLinux/AlmaLinux på alla berörda servrar: en kärn-parameter (initcall_blacklist=algif_aead_init) som inaktiverar den sårbara modulen vid boot. Mitigationen kräver omstart, vilket är anledningen till det akuta servicefönstret.

De flesta av våra system kör också Imunify360 med live-skanning, vilket ger ett extra försvarslager. Imunify360 detekterar publicerade indikatorer på angrepp för CVE-2026-31431 och använder heuristik för att fånga nya. Det ersätter inte kärnpatchen, men kunder på dessa system har ett aktivt skydd mot kända exploit-försök.

Vi har verifierat att mitigationen är aktiv på samtliga servrar.

Vad händer nu

CloudLinux och AlmaLinux släpper patchade kärnor och KernelCare-livepatch inom 6–24 timmar. När livepatchen är publicerad appliceras den utan ytterligare omstart. Patchad kärna installeras vid nästa ordinarie servicefönster, varefter mitigationen kan tas bort.

Påverkan på era tjänster

Kort otillgänglighet under omstart. Inga data har påverkats. Inga tecken på exploit i våra miljöer.

Vid frågor: kontakta oss på support@rocketship.se eller via er ordinarie kanal.

Referenser: CloudLinux advisory · copy.fail · NVD