Linux’ta Yıllardır Kapatılmayan Açık Tespit Edildi

📅 08.05.2026✍️ Yazar: Efrosinea Ebru⏱️ 2 dk okuma
Linux’ta Yıllardır Kapatılmayan Açık Tespit Edildi

Copy Fail Nasıl Çalışıyor?

Xint.io ve Theori ekipleri tarafından ortaya çıkarıldı
• Linux çekirdeğinin kriptografik alt sistemindeki mantık hatasından kaynaklanıyor
• Özellikle algif_aead modülünü etkiliyor
2017 yılından bu yana dağıtılan neredeyse tüm Linux sürümlerinde mevcut

Saldırı Mekanizması

• Yetkisiz yerel kullanıcı, herhangi bir okunabilir dosyanın sayfa önbelleğine dört baytlık veri yazabiliyor
• Basit bir Python betiği kullanılarak setuid ikili dosyaları düzenlenebiliyor
Kök dizin erişimi (root) elde edilebiliyor

Saldırı adımları:
• AF_ALG soketinin açılması
• Çekirdeğin önbelleğe alınmış /usr/bin/su dosyasına yazma işleminin tetiklenmesi
• Yönetici yetkileriyle tüm kısıtlamaların aşılması

Riskler ve Etkiler

• Uzaktan doğrudan tetiklenebilir değil, ancak yerel kullanıcı sistem üzerindeki tüm süreçleri etkileyebiliyor
• Sayfa önbelleğinin sistemdeki tüm süreçler arasında paylaşılması → konteynerler arası etkiler yaratabiliyor
• 2022'de keşfedilen Dirty Pipe güvenlik açığı ile benzerlik gösteriyor

Dağıtımlardan Güvenlik Güncellemesi

• Amazon Linux, Debian, Red Hat Enterprise Linux, SUSE ve Ubuntu kendi güvenlik bültenlerini yayınladı
• Kullanıcıların ilgili dağıtımların sağladığı güncellemeleri takip etmesi önem taşıyor

Açığı tehlikeli kılan özellikler:
• Taşınabilir, küçük ve gizli yapıda olması
• Herhangi bir yarış durumu veya çekirdek ofseti gerektirmemesi
• Saldırganların açığı güvenilir şekilde kullanabilmesi