Amerikanska myndigheter tvingas täppa till Linux-hål före 15 maj

Amerikanska myndigheter har fått order att täppa till en allvarlig brist i Linuxkärnan senast den 15 maj, efter att sårbarheten – som fått smeknamnet CopyFail – börjat utnyttjas i faktiska angrepp, rapporterar TechCrunch. Bristen, som följs som CVE-2026-31431, gör det möjligt för en lokal användare att höja sina rättigheter till fullständig administratörsbehörighet (rot) på drabbade maskiner, och det finns nu öppet publicerad kod som visar hur angreppet kan genomföras.

Det som gör CopyFail dyrt i praktiken är räckvidden. Enligt TechCrunch påverkas Linuxkärnans versioner 7.0 och äldre, och forskare uppger att bristen bekräftats i flera vanliga företags- och molndistributioner, däribland Red Hat Enterprise Linux, Ubuntu med långtidssupport, Amazon Linux och SUSE. Därutöver nämns rapporter som omfattar Debian, Fedora och miljöer med Kubernetes. En rättning togs fram ungefär en vecka efter att kärnans säkerhetsgrupp underrättats i slutet av mars, men åtgärden har inte hunnit igenom hela distributionskedjan: kärnuppdateringar ska paketeras, provas, släppas – och till sist faktiskt installeras av driftansvariga som ofta skjuter upp omstarter.

Den amerikanska myndigheten CISA:s tidsfrist tvingar en del av ekosystemet att agera, men de flesta Linuxmaskiner är inte statliga skrivbordsdatorer. De står i driftcentraler och molnflottor där tillgänglighetsmål och ändringsrutiner avgör när en kärna får bytas ut. Säkerhetsföretaget Theori, som får äran för upptäckten, citeras om en ovanligt stor skadezon. Det betyder i klartext ett välbekant kaos: försvarare måste först kartlägga vilka kärnversioner de kör innan de ens kan planera underhåll.

Bristen är inte i sig ett fjärrintrång. TechCrunch skriver att CopyFail inte kan utnyttjas ”över internet” på egen hand, men blir farlig när den kedjas ihop med en annan sårbarhet som ger första fotfästet – en exponerad tjänst, stulna inloggningsuppgifter, en förgiftad uppdatering eller en användare som luras att köra något. Microsoft uppges varna för att sådan kedjning kan förvandla ett internetburet intrång till full kontroll över systemet. I praktiken är det så en komprometterad användare på en delad värd kan bli en incident för hela plattformen: när angriparen väl nått rot kan han ta sig vidare till program, databaser och intilliggande system på samma nät.

Att Linux dominerar på serversidan gör att en rättighetshöjande brist i kärnan sällan stannar hos en leverantör. Molnleverantörer, programvarutjänster och storföretag bygger ofta på samma uppströmskod, samma underhållare och ibland samma lilla krets med rätt att godkänna ändringar. När angreppskod ligger öppet och CISA säger att bristen redan utnyttjas blir kostnaden för att ”vänta till nästa ordinarie uppdateringsfönster” en affärsfråga, inte en teknisk.

Rättningen finns och tidsfristen är nedskriven. Om den hinner nå alla produktionssystem innan angriparna gör det beror ytterst på vem som är beredd att ta driftavbrottet.