В ядре Linux обнаружена LPE-уязвимость CVE-2026-31431 («Copy Fail», CVSS 7.8), позволяющая локальному пользователю повысить привилегии до root. Эксплуатация возможна через логическую ошибку в криптографической подсистеме (authencesn, AF_ALG, splice), приводящую к контролируемой записи в page cache и изменению setuid-бинарников в памяти без модификации файлов на диске.
Для пользователей ОС РОСА Хром 12, РОСА Хром 12 ФСТЭК и РОСА Хром 13 уязвимость актуальна для поддерживаемых в репозитории веток ядра, включая 6.12, 6.6, 6.1, 5.15 и 5.10.
РОСА уже выпустила обновления, закрывающие CVE-2026-31431. В публичной карточке ROSA Bugzilla по этой уязвимости указан статус RESOLVED FIXED, а также размещены ссылки на сборки исправленных версий ядер для ROSA 13 и ROSA 2021.1 (ROSA 12), включая ядра 6.12, 6.6, 5.15 и 5.10.
Обновления ядер выпущены также для аппаратных архитектур x86_64 (Intel, AMD), aarch64 (Baikal-M, Baikal-L) и loongarch64 (Loongson, Иртыш).
«РОСА отслеживает информацию об уязвимостях в компонентах операционных систем и оперативно выпускает исправления в рамках стандартного процесса сопровождения. Обновления для закрытия Copy Fail уже подготовлены и публикуются через инфраструктуру РОСА. Исправленные пакеты собираются в ABF — системе сборки пакетов РОСА, после чего проходят проверку и поступают в репозитории. После публикации пользователи могут установить их штатными средствами обновления ОС. Администраторам рекомендуется проверить наличие обновлений, установить исправленные версии ядра и запланировать перезагрузку систем в ближайшее окно обслуживания», — заявил руководитель отдела разработки ОС РОСА Алексей Киселев.
