Afshin Tavahin

‼️🚨 BREAKING: An AI found a Linux kernel zero-day that roots every distribution since 2017. The exploit fits in 732 bytes of Python. Patch your kernel ASAP. The vulnerability is CVE-2026-31431, nicknamed "Copy Fail," disclosed today by Theori. It has been sitting quietly in the Linux kernel for nine years. Most Linux privilege-escalation bugs are picky. They need a precise timing window (a "race"), or specific kernel addresses leaked from somewhere, or careful tuning per distribution. Copy Fail needs none of that. It is a straight-line logic mistake that works on the first try, every time, on every mainstream Linux box. The attacker just needs a normal user account on the machine. From there, the script asks the kernel to do some encryption work, abuses how that work is wired up, and ends up writing 4 bytes into a memory area called the "page cache" (Linux's high-speed copy of files in RAM). Those 4 bytes can be aimed at any program the system trusts, like /usr/bin/su, the shortcut to becoming root. Result: the next time anyone runs that program, it lets the attacker in as root. What should worry most: the corruption never touches the file on disk. It only exists in Linux's in-memory copy of that file. If you imaged the hard drive afterwards, the on-disk file would match the official package hash exactly. Reboot the machine, or just put it under memory pressure (any normal system load that needs the RAM), and the cached copy reloads fresh from disk. Containers do not help either. The page cache is shared across the whole host, so a process inside a container can use this bug to compromise the underlying server and reach into other tenants. The original sin was a 2017 "in-place optimization" in a kernel crypto module called algif_aead. It was meant to make encryption slightly faster. The change broke a critical safety assumption, and nobody noticed for nine years. That bug then rode every kernel update from 2017 to today. This vulnerability affects the following: 🔴 Shared servers (dev boxes, jump hosts, build servers): any user becomes root 🔴 Kubernetes and container clusters: one compromised pod escapes to the host 🔴 CI runners (GitHub Actions, GitLab, Jenkins): a malicious pull request becomes root on the runner 🔴 Cloud platforms running user code (notebooks, agent sandboxes, serverless functions): a tenant becomes host root Timeline: 🔴 March 23, 2026: reported to the Linux kernel security team 🔴 April 1: patch committed to mainline (commit a664bf3d603d) 🔴 April 22: CVE assigned 🔴 April 29: public disclosure Mitigation: update your kernel to a build that includes mainline commit a664bf3d603d. If you cannot patch immediately, turn off the vulnerable module: echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf rmmod algif_aead 2>/dev/null || true For environments that run untrusted code (containers, sandboxes, CI runners), block access to the kernel's AF_ALG crypto interface entirely, even after patching. Almost nothing legitimate needs it, and blocking it shuts the door on this whole class of bug...

همونطور که میدونید یا حدسشو میزنید، پیام این سیگنال قابل دیکود شدن نیست. دلیل اینکه نمیشه هم اینه که از پد یک‌بار مصرف استفاده می‌کنه؛ یه سری عدد رندوم که دقیقاً به اندازه پیام طول دارن، فرستنده پیام رو با این اعداد جمع می‌کنه، گیرنده هم با همون سری کم می‌کنه تا پیام اصلی دربیاد، چون اوردر پد تصادفیه، فقط یه بار استفاده می‌شه، هیچ‌وقت تکرار نمی‌شه، و ایضا هیچ الگویی نداره از نظر ریاضی غیرقابل شکستنه. بدون کلیدش هر چیزی ممکنه باشه و حتی قوی‌ترین کامپیوترها هم دیکودش نمی‌تونن بکنن؛ پس ما فقط اعدادو می‌شنویم ولی سراخر درک ما هم به همین بسنده میکنه. اصلا اگه قابل شکستن بود و پترنی داشت سیکیور-برادکست نمیشد. ولی علت اهمیت پیام، بخاطر خود برادکست، نحوه‌ی اینکریپشن و زمانشه. این پیام دقیق بعد به گا رفتن خامنه‌ای برادکست میشه. پس محوا هرچی باشه، پیام بسیار مهمی رو شامل میشه، با این که ما نمیتونیم دیکودش کنیم میدونیم توی این پاکت چیز بسیار مهمی قرار داره. دلیل دوم، سبک برادکست و اینکریپشنه؛ طبق گزارش‌های شنونده‌های کوتاه‌موج، کامیونیتی HAM Radio, و ایضا سایت‌هایی مث IZ0KBA، این سیگنال روی موج ۷۹۱۰ کیلوهرتز اولین نمونه ارسالی از رژیمه که ازین سبک کدگذاری استفاده کرده، و اون (Numbers Station) یا ایستگاه اعداد کلاسیکه. رژیم سابقه پخش‌های مخفی HF رو طبیعتا داشته، ولی ایستگاه اعداد کلاسیک، که میشه همین که با صدا فارسی یکی اعداد رو یکی‌یکی می‌خونه برای نیروهاش (ریسیورها میتونن نیروهای پراکسی باشن یا سلیپینگ سل‌ها و غیره) رو نه، قبلاً نداشتن به این سبک. حالا به نظر من چرا جالبه؟ چون (numbers station) در دوره‌ی جنگ سرد خیلی محبوب و پراستفاده بود، الان با اینکه خیلیم خفنه، ولی لگاسی مدل شده دیگه و بیشتر بچه‌های HAM استفاده‌ش میکنن. تصور میکنم توی دفترچه‌ی «چه گهی بخوریم وقتی همه چیز به گا رفت» رژیم (official name btw) یه سری دستورالعمل هست برای چنین شرایطی که همه چی بگا رفت، و متریال هم همون دوره‌های قدیم نوشته شده و مث بقیه‌ی چیزای مملکت دست نزدن بهش ۴۰ ساله، و بعد از به چیز رفتن خامنه‌ای، رژیم رفته تو پنیک، اینام گفتن طبق این دستورالعمل میریم جلو. یا شاید چون سیستم لگاسیه، احتمال جمینگ کم‌تری هم داشته. خلاصه که اینا نگاه سوبجکتیو بنده‌س.