В начале мая 2026 года VMware официально подтвердила существование опасной уязвимости, получившей идентификатор CVE-2026-31431 и неофициальное название Copy Fail. Проблема затронула платформу Tanzu Kubernetes Runtime, а точнее - компонент Stemcells на базе Ubuntu Jammy. Согласно бюллетеню безопасности компании, выпущенному 1 мая, уязвимость позволяет атакующему с локальным доступом повысить свои привилегии в системе. Уровень опасности оценён как высокий: базовый показатель CVSSv3.1 составил 7,8 балла из 10 возможных.
Детали уязвимостей
Copy Fail представляет собой логическую ошибку в ядре Linux, а именно в модуле algif_aead, который отвечает за аппаратно-ускоренные криптографические функции. Исследователи обнаружили, что злоумышленник, обладающий непривилегированным локальным доступом, может с помощью скрипта размером всего 732 байта модифицировать setuid-бинарный файл и получить полный контроль над системой. Ошибка заключается в некорректной обработке данных при работе криптографического шаблона authencesn. Другими словами, ошибка в коде ядра даёт возможность произвести детерминированную запись четырёх байтов в кэш страниц любого читаемого файла. На практике этого достаточно, чтобы повысить свои права до root на подавляющем большинстве дистрибутивов Linux.
Важно подчеркнуть, что атака носит исключительно локальный характер. Эксплуатировать уязвимость удалённо, через сеть, невозможно. Тем не менее угроза остаётся значимой для всех систем, которые используют затронутые версии Stemcells. Под удар попали все выпуски Tanzu Jammy Stemcells до версии 1.1193 включительно. В контексте платформы VMware Tanzu это означает, что виртуальные машины, на которых работают контейнеры, потенциально уязвимы. Специалисты VMware провели анализ среды выполнения Garden Runtime, который используется для изоляции контейнеров. Они выяснили, что внутри контейнера эксплойт действительно срабатывает, однако из-за особенностей отображения индексных дескрипторов (inode) в файловой системе garden overlay полученные привилегии не распространяются на всю виртуальную машину. То есть злоумышленник не получает автоматически доступ к узлу за пределами контейнера.
Однако есть и тревожный нюанс. Поскольку все запущенные контейнеры на одном узле используют общую файловую систему, теоретически возможна атака на соседние контейнеры. Разработчики VMware признают, что такая вероятность существует, хотя и отмечают, что это потребует преодоления дополнительных механизмов сегментации, описанных в документации по безопасности Tanzu. Тем не менее в условиях высокой плотности контейнеров на одном узле риск нельзя игнорировать.
С точки зрения оценки рисков по методологии VMware, компоненты, которые выполняют код из ненадёжных источников (например, этап сборки приложения или базовая файловая система), получили сниженный балл: с 7,8 до 6,6. Это связано с тем, что в изолированных границах одного контейнера область воздействия остаётся ограниченной, а влияние на конфиденциальность данных - низким при условии, что уязвимость не комбинируется с другими методами побега из контейнера.
Для устранения проблемы компания рекомендует как можно скорее обновить стенд-в (системные образы виртуальных машин) до версии 1.1193. Однако если немедленное обновление невозможно, существует временная мера защиты. Она заключается в отключении уязвимого модуля ядра algif_aead. После его удаления из системы аппаратно-ускоренные криптографические функции станут недоступны, но большинство приложений должны корректно переключиться на программную реализацию. Тем не менее есть риск, что некоторые программы не предусматривают такой запасной вариант и могут работать некорректно.
Команда VMware также предупреждает, что ожидается выпуск официального исправления ядра, которое заменит данное временное решение. Пока же администраторам платформы Tanzu стоит действовать по одному из двух сценариев: либо обновить стенд-в до актуальной версии, либо выполнить команду для блокировки модуля через конфигурационный файл modprobe.d. После применения такой настройки перезагрузка не требуется, так как модуль выгружается тут же.
Сама уязвимость получила статус публичного раскрытия ещё 29 апреля 2026 года, и с тех пор исследователи активно обсуждают технические детали. Отметим, что это не единичный случай за последние месяцы: ядро Linux продолжает оставаться источником критических уязвимостей локального повышения привилегий. Для платформ контейнеризации вроде VMware Tanzu Kubernetes Runtime такие проблемы особенно актуальны, поскольку атака может развиваться через скомпрометированное приложение внутри контейнера.
В конечном итоге компания VMware оценивает общий показатель CVSS в 7,2 балла с учётом временных и средовых факторов. Это означает, что угроза остаётся высокой, но не является критической. Тем не менее любой инцидент, связанный с повышением привилегий в контейнерной среде, может привести к серьёзным последствиям - от утечки данных до полного захвата управления над кластером. Поэтому специалистам по безопасности рекомендуется незамедлительно провести аудит версий используемых стенд-в и применить рекомендованные меры.
Ссылки
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/37431
- https://www.cve.org/CVERecord?id=CVE-2026-31431
