Laatst bijgewerkt: 2 mei 2026
Status: mitigatie loopt — gepatchte kernels worden uitgerold zodra leveranciers ze in stable publiceren.
Disclaimer: Deze pagina is uitsluitend bedoeld als informatie. We geven geen garanties over de juistheid, volledigheid of toepasbaarheid van de informatie op jouw specifieke omgeving, en de situatie zoals hier beschreven kan elk moment veranderen. Verifieer altijd via de officiële kanalen van je distributie voordat je wijzigingen doorvoert op productieomgevingen. Je past de commando's en instructies op deze pagina toe op eigen risico; Yourwebhoster.eu aanvaardt geen aansprakelijkheid voor schade, downtime of dataverlies die het gevolg is van het opvolgen ervan, in het bijzonder op systemen die wij niet beheren.
Maak altijd een back-up of snapshot zodat je bij eventuele problemen éénvoudig kan terugrollen.
Wijzigingen aan deze pagina
2 mei 2026 — KernelCare-patches nu beschikbaar in de main feed voor de meeste grote distributies: CloudLinux 8, RHEL 8, AlmaLinux 9, Rocky Linux 9, Ubuntu 20.04, Ubuntu 22.04 (inclusief arm64), CentOS 8 en Oracle Linux 8 UEK6. AlmaLinux 9 ESU en 9.6 FIPS zijn ook gedekt via aparte patchsets. Zie de KernelCare patch tracker voor de live en volledige lijst.
1 mei 2026 — Pagina gepubliceerd. Eerste publicatie met overzicht van getroffen systemen, beschikbare updates en mitigatie-instructies.
Wat is Copy Fail?
Copy Fail is een kritieke local privilege escalation in de Linux-kernel (de module algif_aead, AF_ALG-interface). Een lokale gebruiker zonder rechten kan via een 732-byte Python-exploit root-rechten verkrijgen op het systeem. Alle Linux-kernels van 2017 tot nu zijn kwetsbaar — uitzondering is CentOS / CloudLinux 7 (kernel 3.10), die de kwetsbare code-pad nooit heeft gekregen.
Voor shared hosting met meerdere tenants is dit een serieus risico: een gebruiker met shell-toegang kan, zonder verder lek, root op de hostnode worden. Voor KVM-VM's is het géén VM-escape — elke guest is wel onafhankelijk kwetsbaar binnen zijn eigen kernel.
Status van onze infrastructuur
We zijn vanaf het moment van bekendmaking bezig met het beveiligen van onze infrastructuur. Een deel van de servers is voorzien van de tijdelijke maatregel; de rest volgt zo snel als verantwoord mogelijk is. Zodra de leveranciers de gepatchte kernels in hun stable channels publiceren, voeren we een tweede onderhoudsronde uit waarin de definitieve fix wordt geïnstalleerd.
Beschikbare patches per distributie
De situatie verschilt per distributie. Controleer altijd de officiële kanalen voor de laatste status — onderstaande tabel is een momentopname van 1 mei 2026.
| Distributie | Kwetsbaar | Gepatchte kernel | Waar te verkrijgen | Bron |
|---|---|---|---|---|
| CentOS 6, CentOS 7, CloudLinux 7 | Nee | — | Geen actie nodig | NVD |
| CloudLinux 7h, CloudLinux 8 | Ja | Beschikbaar (beta) | Beta channel cloudlinux-updates-testing — doel kernel-4.18.0-553.121.1.lve.el8 of nieuwer | CloudLinux Blog |
| CloudLinux 9 | Ja | Beschikbaar (testing) | AlmaLinux testing repository — doel kernel-5.14.0-611.49.2.el9_7 of nieuwer | CloudLinux Blog |
| CloudLinux 10 | Ja | Beschikbaar (testing) | AlmaLinux testing repository — doel kernel-6.12.0-124.52.2.el10_1 of nieuwer | CloudLinux Blog |
| AlmaLinux 8 / 9 / 10 | Ja | Beschikbaar (testing) | AlmaLinux testing repository — production repository volgt op korte termijn | AlmaLinux announcement |
| Rocky Linux 8 / 9 / 10 | Ja | Check leverancier | Rocky errata-kanalen | Rocky Errata |
| RHEL 8 / 9 / 10 | Ja | Check leverancier | Red Hat errata-kanalen | Red Hat Security |
| Debian 13 (Trixie) | Ja | Gepatcht (stable) | DSA-6238-1, kernel 6.12.85-1 in main — voer apt update && apt upgrade uit | Debian Tracker |
| Debian 12 (Bookworm) | Ja | Volgt nog | Pas tijdelijke mitigatie toe | Debian Tracker |
| Ubuntu 22.04 / 24.04 | Ja | Check USN | Pas tijdelijke mitigatie toe als er nog geen USN is uitgebracht | Ubuntu Security |
Mitigatie als de gepatchte kernel nog niet beschikbaar is
Er zijn twee soorten mitigatie. Welke je kunt gebruiken hangt af van je distributie, omdat algif_aead op sommige systemen een laadbare module is en op andere systemen onderdeel is van de kernel zelf.
| Aspect | RHEL-familie (CloudLinux, AlmaLinux, Rocky, RHEL 8/9/10) | Debian / Ubuntu |
|---|---|---|
Status van algif_aead | Ingebouwd in de kernel (CONFIG_CRYPTO_USER_API_AEAD=y) | Laadbare module |
| modprobe blacklist + rmmod | Werkt niet — faalt zonder foutmelding | Werkt — module kan worden geblokkeerd en uitgeladen |
| Aanbevolen mitigatie | Boot-parameter initcall_blacklist=algif_aead_init | modprobe blacklist (voorkeur); boot-parameter als fallback |
| Reboot vereist | Ja | Nee, als de modprobe-aanpak werkt; ja bij terugvallen op boot-parameter |
| Gebruikt commando | grubby (of directe edit van BLS-entries) | /etc/modprobe.d/ + rmmod, of GRUB cmdline edit |
RHEL-familie — boot-parameter (reboot vereist)
De modprobe-workaround die op oss-security circuleert werkt niet op RHEL-systemen — de commando's geven geen foutmelding, maar veranderen niets. Gebruik de boot-parameter aanpak:
sudo grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"sudo reboot
Verifiëren na reboot:
cat /proc/cmdline | grep initcall_blacklist
Reverten zodra de gepatchte kernel is geïnstalleerd:
sudo grubby --update-kernel=ALL --remove-args="initcall_blacklist=algif_aead_init"sudo reboot
Op CloudLinux 9 / 10 zonder grubby: bewerk handmatig /boot/loader/entries/*.conf en voeg initcall_blacklist=algif_aead_init toe aan de options regel van elke entry. Reboot daarna.
Debian / Ubuntu — modprobe (geen reboot nodig als het lukt)
Op deze systemen is algif_aead doorgaans een laadbare kernel-module. Probeer eerst de modprobe-aanpak en verifieer vervolgens:
echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/cve-2026-31431.confsudo rmmod algif_aead 2>/dev/null || truelsmod | grep algif_aead
Als de laatste regel niets teruggeeft, is de module weg en is het systeem niet meer exploiteerbaar via deze vector.
Werkt dit niet (module blijft geladen, of modinfo algif_aead | grep filename geeft (builtin)) — val dan terug op de boot-parameter aanpak met een reboot:
sudo sed -i 's|GRUB_CMDLINE_LINUX_DEFAULT="\(.*\)"|GRUB_CMDLINE_LINUX_DEFAULT="\1 initcall_blacklist=algif_aead_init"|' /etc/default/grubsudo update-grubsudo reboot
Belangrijke check vooraf: verifieer altijd dat je huidige kernel-cmdline alle bestaande parameters behoudt (zoals netwerk-interface-naamgeving, crashkernel, root device hints) — een onvolledige GRUB-regeneratie kan resulteren in een server die niet meer boot of zonder netwerk opkomt.
Compatibiliteit: dm-crypt / LUKS, kTLS, IPsec, SSH en standaard OpenSSL / GnuTLS-builds zijn niet afhankelijk van AF_ALG en blijven werken na toepassen van de mitigatie.
Advies
1. Werk bij voorkeur de kernel bij. Voor CloudLinux 7h/8 (beta), CloudLinux 9/10 + AlmaLinux (testing repo) en Debian Trixie is een gepatchte kernel direct beschikbaar. Plan een reboot in en installeer de update.
2. Als bijwerken nu niet kan, pas de tijdelijke mitigatie toe. Kies de juiste methode voor jouw distributie (zie hierboven). De boot-parameter aanpak werkt op alle Linux-systemen; modprobe alleen op systemen waar algif_aead een laadbare module is.
3. Overweeg KernelCare voor toekomstige kernel-CVE's. KernelCare past kernel-patches toe zonder reboot. Sinds 1 mei 2026 zijn KernelCare-patches voor deze CVE live in de main feed voor de meeste grote distributies — waaronder CloudLinux 8, RHEL 8, AlmaLinux 9, Rocky Linux 9, Ubuntu 20.04 en 22.04, CentOS 8 en Oracle Linux 8 UEK6. Voor deze CVE bieden we één maand KernelCare gratis aan voor al je servers bij ons — shared hosting, VPS, dedicated, managed of unmanaged, ongeacht het producttype. Stuur een e-mail naar support@yourwebhoster.eu met daarbij de server(s) waar je het voor wilt activeren. Om te bevestigen dat jouw specifieke kernel gedekt is, zie de KernelCare patch tracker voor CVE-2026-31431.
4. Controleer altijd de officiële statuspagina van je distributie voor de laatste updates, omdat de situatie per uur kan veranderen.
Externe statuspagina's
CloudLinux Status Page — incident 642sgcmntkkk
status.cloudlinux.com
KernelCare patch tracker — CVE-2026-31431
AlmaLinux — CVE-2026-31431 announcement
Debian Security Tracker — CVE-2026-31431
Ubuntu Security — CVE-2026-31431
Red Hat Security — CVE-2026-31431
Bronnen & verdere lezing
copy.fail — originele disclosure
CloudLinux Blog — Kernel Update on CloudLinux
NVD — CVE-2026-31431
Xint — write-up
oss-security — originele disclosure mailing list-post
CloudLinux KB — Impact on CloudLinux Systems & KernelCare patching
Upstream kernel-fix (commit a664bf3d603d)
Vragen? Stuur een e-mail naar support@yourwebhoster.eu of open een ticket. Deze pagina wordt bijgewerkt zodra er nieuwe informatie of voortgang is.