Se ha identificado la vulnerabilidad CVE-2026-31431, conocida como “CopyFail”, que afecta al kernel de Linux y permite la escalada de privilegios hasta nivel root en sistemas previamente comprometidos. Aunque se ha difundido como una vulnerabilidad “crítica universal”, el análisis técnico confirma que se trata de una falla real en el subsistema criptográfico (AF_ALG / algif_aead), cuya explotación requiere acceso local previo; además, ya existen pruebas de concepto (PoC) públicas y exploits disponibles en repositorios como GitHub.
CVE y severidad
ID: CVE-2026-31431
Componente afectado: Subsistema criptográfico del kernel Linux (algif_aead)
Impacto: Impacto potencial alto en entornos multi-tenant o con offload criptográfico
Productos afectados
| Fabricante | Producto | Versión(es) afectada(s) | Plataformas/SO |
|---|---|---|---|
| Debian | Bullseye | 5.10.223-1, 5.10.251-1 | Linux kernel |
| Debian | Bookworm | 6.1.159-1, 6.1.164-1 | Linux kernel |
| Debian | Trixie | 6.12.73-1, 6.12.74-2 | Linux kernel |
| Amazon | Amazon Linux 2 | Kernels 5.4, 5.10, 5.15 (fix pendiente) | Linux kernel |
| Amazon | Amazon Linux 2023 | Kernels 6.12 y 6.18 (fix pendiente) | Linux kernel |
| Canonical | Ubuntu LTS (16.04 a 26.04) | Múltiples paquetes afectados | Linux kernel |
Solución
- Aplicar parches del kernel disponibles por vendor.
- Verificar versiones vulnerables en servidores críticos.
Recomendaciones
- Identificar la versión del kernel con el comando
uname -r - Priorizar la actualización de servidores públicos
- Evaluar deshabilitar AF_ALG si no es necesario mediante sysctl; migrar cargas a proveedores que ofrezcan kernels LTS actualizados con parches automáticos
- activar monitoreo continuo usando herramientas como AWS ALAS y Debian Security Tracker para detectar y mitigar esta vulnerabilidad.