Alla pagina principale

Vulnerabilità critica del kernel Linux CVE-2026-31431

Come verificare il server e correggere la vulnerabilità nel sottosistema crittografico del kernel Linux.

Nel sottosistema crittografico del kernel Linux (interfaccia AF_ALG) è stata scoperta una vulnerabilità critica CVE-2026-31431, che consente a un utente locale di escalare i privilegi fino a root.

Su un server standard, ciò si traduce in un'escalation di privilegi non autorizzata. Negli ambienti containerizzati (Docker, Kubernetes), la vulnerabilità può essere sfruttata per uscire dal container e ottenere il controllo completo del sistema host.

CentOS 7 e le distribuzioni che utilizzano branch del kernel più datati non sono interessate.

Verifica del server

Esegui il seguente comando nel terminale per verificare se il tuo sistema è vulnerabile:

python3 -c "
import socket, sys
try:
    s = socket.socket(socket.AF_ALG, socket.SOCK_SEQPACKET, 0)
    s.bind(('aead', 'authencesn(hmac(sha256),cbc(aes))'))
    print('VULNERABLE')
    sys.exit(1)
except OSError as e:
    print('Not vulnerable:', e)
    sys.exit(0)
"

Se l'output mostra VULNERABLE, il sistema è interessato dalla vulnerabilità e richiede un intervento immediato.

Mitigazione

In attesa del rilascio di una patch ufficiale, disabilita il modulo del kernel interessato.

Ubuntu, Debian e sistemi simili

# Crea una configurazione di blacklist
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

# Scarica il modulo se è attualmente caricato
rmmod algif_aead 2>/dev/null || true

Se utilizzi Ubuntu con gli aggiornamenti automatici abilitati (abilitati per impostazione predefinita), non è necessario eseguire il passaggio precedente.

CentOS, RHEL, AlmaLinux, Rocky Linux

# Blacklist tramite riga di comando del kernel (persistente tra gli aggiornamenti)
grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"

# Riavvia per applicare le modifiche
reboot -h now

Dopo aver applicato la soluzione temporanea, tieni d'occhio i repository ufficiali della tua distribuzione e installa la patch del kernel non appena diventa disponibile.

Riferimenti

Aiuto

Hai domande o ti serve una mano? Scrivici tramite il sistema di ticket — siamo sempre qui per aiutarti!

Hai bisogno di aiuto?I nostri ingegneri ti aiuteranno gratuitamente con qualsiasi domanda in pochi minutiContattaci