CVE-2026-31431, liefkozend 'Copy Fail' gedoopt, is een kritieke kwetsbaarheid in de Linux-kernel die sinds 2017 in de schaduw heeft geloerd en nu eindelijk de beveiligingsaandacht krijgt die het verdient. Want niets zegt 'veilig' als een acht jaar oude bug.

Laten we het uitleggen in termen die zelfs een niet-Linux-gebruiker kan begrijpen. Stel je voor dat het geheugen van je computer een schoolbord is waar een leraar je cijfers in realtime bijhoudt. Leerlingen mogen geen krijt of gum gebruiken, dus ze kunnen niet valsspelen. Copy Fail is als een stiekeme leerling die op de een of andere manier zowel krijt als een gum in handen krijgt en alleen zijn cijfer verandert terwijl jij niet kijkt. Alleen is in dit geval het 'cijfer' de beveiliging van je systeem.

In essentie is Copy Fail een fout in de Linux-kernel die de beveiliging voor bepaalde gegevenstypen afhandelt. Een aanvaller met alleen basis systeemtoegang kan een cruciaal stukje gegevens in het RAM van de computer wijzigen. Eenmaal gewijzigd, misleidt de aangepaste data het systeem om te denken dat de aanvaller de root-gebruiker is, waardoor ze volledige controle krijgen. Zie het als een schoonmaker die het naamplaatje van de baas pakt en het naast zijn eigen kast op de muur plakt, waardoor iedereen denkt dat hij de baas is.

In tegenstelling tot veel Linux-kwetsbaarheden die precieze timing of complexe sequenties vereisen, is Copy Fail verfrissend eenvoudig. Het misbruikt de AF_ALG socket-interface en de splice()-systeemaanroep om slechts 4 bytes in de page cache van de kernel voor elk leesbaar bestand te overschrijven. Van daaruit kunnen aanvallers setuid-binaries - zoals het su-commando - die in het geheugen staan aanpassen om root-toegang te krijgen. Geen timing-afhankelijke herpogingen nodig; het is een stabiele, rechte exploit.

Copy Fail treft alle Linux-kernels van versie 4.14 tot 6.19.12. Dat klopt: kernels van 2017 tot nu. Want waarom zou je de schade beperken tot slechts een paar jaar?

Volgens het Xint Code Research Team: 'Deze vondst was AI-ondersteund, maar begon met een inzicht van Theori-onderzoeker Taeyang Lee, die bestudeerde hoe de Linux-crypto-subsysteem interageert met page-cache-backed data.' Dus een mens had het oorspronkelijke idee, en AI hielp bij het opschalen van de zoektocht. Want natuurlijk is AI erbij betrokken.

De oplossing is simpel: update je kernel naar de nieuwste versie. Om te controleren of je gepatcht bent, voer je dit commando uit:

```

l kmod grep -qE '^algif_aead ' /proc/modules && echo "Affected module is loaded" || echo "Affected module is NOT loaded"

```

Als je 'Affected module is NOT loaded' ziet, zit je goed. Als je 'Affected module is loaded' ziet, update dan je systeem. Als het zelfs na updaten nog geladen is, schakel de algif_aead-module uit met:

```

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf

```

Je weet nu genoeg over Copy Fail om beschermd te blijven. Graag gedaan.