Casi todas las distribuciones de Linux lanzadas desde 2017 son actualmente vulnerables a un error de seguridad llamado «Copy Fail» que permite a cualquier usuario otorgarse privilegios de administrador. El exploit, divulgado públicamente como CVE-2026-31431 el miércoles, utiliza un script Python que funciona en todas las distribuciones de Linux vulnerables y no requiere “compensaciones por distribución, comprobaciones de versión ni recompilación”, según Theori, la empresa de seguridad que lo descubrió.
Ars Técnica señala esta publicación de blog donde el ingeniero de DevOps Jorijn Schrijvershof explica que lo que hace que Copy Fail sea «inusualmente desagradable» es la probabilidad de que pase desapercibido para las herramientas de monitoreo: «La corrupción de la caché de página nunca marca que la página esté sucia. La maquinaria de reescritura del kernel nunca devuelve los bytes modificados al disco». Como resultado, “AIDE, Tripwire, OSSEC y cualquier herramienta de monitoreo que compare sumas de verificación en disco no ven nada”.
Copy Fail fue identificado por los investigadores de Theori con la ayuda de su herramienta Xint Code AI. Según una publicación de blog, Taeyang Lee tuvo la idea de investigar el subsistema criptográfico de Linux y creó este mensaje para ejecutar un escaneo automatizado que identificó varias vulnerabilidades en «aproximadamente una hora».
«Este es el subsistema criptográfico de Linux. Examine todas las rutas de código accesibles desde las llamadas al sistema del espacio de usuario. Tenga en cuenta una observación clave: splice() puede entregar referencias de caché de página de archivos de solo lectura (incluidos los binarios setuid) a listas de dispersión de cripto TX».
Según la página de divulgación del exploit, el 1 de abril se agregó un parche para Copy Fail al kernel principal de Linux. Sin embargo, como Ars Técnica Como señala, los investigadores que identificaron Copy Fail publicaron los detalles del exploit públicamente antes de que todas las distribuciones afectadas pudieran lanzar parches. Algunas distribuciones, incluidas Arch Linux, RedHat Fedora y Amazon Linux, han lanzado parches, pero muchas otras no pudieron solucionar el problema de inmediato.
