Podatność, znana jako Copy Fail, dotyczy praktycznie wszystkich dystrybucji systemu Linux wydanych po 2017 roku. Kod pozwalający na jej wykorzystanie jest publicznie dostępny, a jego użycie nie wymaga zaawansowanych umiejętności technicznych. Oznacza to, że ryzyko praktycznego wykorzystania luki jest wysokie.
Szczególnie zagrożone są środowiska, w których dostęp do systemu mają niezaufani użytkownicy lub uruchamiany jest kod pochodzący od użytkowników. Dotyczy to w szczególności:
serwerów współdzielonych,
środowisk multi-tenant,
klastrów Kubernetes,
środowisk kontenerowych,
CI runners,
platform chmurowych,
usług SaaS uruchamiających kod użytkownika.
Administratorzy powinni niezwłocznie zweryfikować wersję jądra Linux oraz zaktualizować systemy do wersji zawierającej poprawkę bezpieczeństwa.
Jeżeli natychmiastowa aktualizacja nie jest możliwa, zalecamy wdrożenie tymczasowych mitygacji:
zablokowanie tworzenia socketów AF_ALG przy użyciu mechanizmu seccomp,
lub wyłączenie modułu jądra algif_aead.
Działania te należy traktować jako rozwiązania tymczasowe. Docelową rekomendacją pozostaje aktualizacja jądra Linux.
Więcej informacji technicznych znajduje się na blogu badaczy:
https://xint.io/blog/copy-fail-linux-distributions
https://copy.fail/
W przypadku wykrycia oznak potencjalnego wykorzystania tej podatności prosimy o niezwłoczny kontakt z CERT Polska.