Copy Fail (CVE-2026-31431) is een kwetsbaarheid in de Linux kernel waarmee een lokale gebruiker root-rechten kan krijgen. De kwetsbaarheid is op 29 april 2026 publiek bekendgemaakt en raakt veel Linux-distributies met kernels uit 2017 of later.
In dit artikel controleer je of je VPS risico loopt, update je de kernel en pas je eventueel een tijdelijke workaround toe wanneer je niet direct kunt rebooten.
- De hypervisors van TransIP zijn gepatcht. Je VPS draait jouw eigen Linux-installatie. Update daarom de kernel binnen je VPS met de stappen in dit artikel.
- Copy Fail is geen kwetsbaarheid die zonder verdere toegang op afstand kan worden misbruikt. De impact is vooral hoog wanneer iemand al lokale code kan uitvoeren, bijvoorbeeld via een shell-account, een kwetsbare web-applicatie, een CI/CD-runner of een container met onbetrouwbare workloads.
Wat doet Copy Fail?
Copy Fail zit in het algif_aead-onderdeel van de Linux kernel crypto API. Door AF_ALG te combineren met splice() kan een lokale gebruiker vier gecontroleerde bytes naar de page cache van een leesbaar bestand schrijven. Raakt die wijziging bijvoorbeeld een setuid-binary zoals /usr/bin/su, dan kan de gebruiker root-rechten krijgen.
De kwetsbaarheid is extra relevant omdat de exploit betrouwbaar werkt, geen race condition nodig heeft en ook in containeromgevingen impact kan hebben. Containers delen namelijk de kernel van de host.
De upstream Linux-kernel bevat de patch in commit a664bf3d603d. Distributies zoals Ubuntu leveren de patch via hun eigen kernel- of security-updates.
Prioriteit bepalen
| Risico | Wanneer geldt dit? | Wanneer patchen? |
|---|---|---|
| Hoog | CI/CD-runners, build-servers, multi-user shells, Kubernetes nodes met meerdere tenants of andere systemen waarop onbetrouwbare code draait | Vandaag |
| Gemiddeld | Een single-tenant productie-VPS met een publiek bereikbare web-applicatie of API die bij een kwetsbaarheid lokale code kan uitvoeren | Binnen 7 dagen |
| Lager | Een VPS waarop alleen jij shell-toegang hebt en waarop je geen onbetrouwbare code uitvoert | Binnen je normale onderhoudsvenster |
Controleer en update je Linux-VPS
Stap 1
Verbind met je VPS via SSH of de VPS-console.
Stap 2
Controleer welke kernel je VPS nu gebruikt:
uname -rNoteer de output. Na de update controleer je opnieuw of je VPS een nieuwere kernel draait. Vertrouw niet alleen op het versienummer: distributies backporten security-fixes regelmatig naar bestaande kernelreeksen.
Stap 3
Update je distributie. Kies het commando dat past bij jouw besturingssysteem.
Ubuntu, Debian, Zorin, Kali en andere apt-gebaseerde distributies:
sudo apt -y update
sudo apt -y upgradeAlmaLinux, Rocky Linux, RHEL, Oracle Linux, CloudLinux, Fedora en CentOS Stream:
sudo dnf -y upgrade --refreshopenSUSE Leap:
sudo zypper refresh
sudo zypper update -yopenSUSE Tumbleweed:
sudo zypper refresh
sudo zypper dup -yArch Linux:
sudo pacman -SyuFedora CoreOS:
sudo rpm-ostree upgradeGebruik je CentOS 7 of een andere end-of-life distributie? Dan ontvang je mogelijk geen reguliere kernel-update meer. Migreer naar een supported distributie of gebruik tijdelijk de workaround verderop in dit artikel terwijl je de migratie plant.
Stap 4
Reboot je VPS zodat de nieuwe kernel wordt geladen:
sudo rebootWacht ongeveer 30 seconden en verbind daarna opnieuw via SSH of de VPS-console.
Stap 5
Controleer opnieuw welke kernel draait:
uname -rControleer daarna of je distributie de fix in de geïnstalleerde packages noemt. Deze controle verschilt per distributiefamilie.
Debian en Ubuntu:
zgrep -i "CVE-2026-31431" /usr/share/doc/linux-image-$(uname -r)/changelog.Debian.gzRHEL-familie, zoals AlmaLinux, Rocky Linux, RHEL en Oracle Linux:
rpm -q --changelog kernel | grep -i "CVE-2026-31431"Krijg je output terug, dan bevat de geïnstalleerde kernelpackage een verwijzing naar de fix. Krijg je geen output terug, controleer dan de security-advisory van je distributie voor het exacte fixed package. Distributies vermelden CVE's niet altijd op dezelfde manier in changelogs.
Tijdelijke workaround zonder reboot
Pas de tijdelijke workaround alleen toe als je nog niet kunt updaten.
Kun je niet direct rebooten? Schakel dan tijdelijk de kwetsbare algif_aead-kernelmodule uit. Doe dit alleen als tijdelijke maatregel; de structurele oplossing blijft het installeren en laden van een gepatchte kernel.
Stap 1
Controleer of de module geladen is:
grep -qE '^algif_aead ' /proc/modules && echo "algif_aead is geladen" || echo "algif_aead is niet geladen"
Stap 2
Blokkeer het opnieuw laden van de module en verwijder de module uit de draaiende kernel:
echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif.conf
sudo rmmod algif_aeadKrijg je de melding Module algif_aead is in use? Controleer dan welke processen AF_ALG gebruiken:
sudo lsof | grep AF_ALG
sudo ss -xa | grep algStop eerst de processen die de module gebruiken en voer daarna sudo rmmod algif_aead opnieuw uit.
Stap 3
Verwijder de workaround nadat je een gepatchte kernel hebt geïnstalleerd en je VPS succesvol op die kernel draait:
sudo rm /etc/modprobe.d/disable-algif.confReboot je VPS daarna op een geschikt onderhoudsmoment.
Deze workaround raakt normaal gesproken geen LUKS/dm-crypt, SSH, IPsec/XFRM, kTLS of standaard OpenSSL/GnuTLS/NSS-configuraties. Mogelijke impact zit vooral bij applicaties die AF_ALG expliciet gebruiken, zoals OpenSSL met de afalg-engine of specifieke embedded crypto-offload toepassingen.
Veelgestelde vragen
Is mijn VPS al gehackt?
Niet automatisch. Copy Fail vereist lokale code execution. Heeft je VPS shell-accounts voor meerdere gebruikers, containers met onbetrouwbare workloads, een CI/CD-runner of een publiek bereikbare applicatie die mogelijk code execution kan geven? Controleer dan logs en draai een security-audit. In alle gevallen blijft patchen noodzakelijk.
Hoe weet ik of er misbruik is gemaakt?
De exploit wijzigt de page cache en niet de file op disk. Daardoor zijn directe forensische sporen beperkt. Zoek naar ongebruikelijke AF_ALG socket-activiteit in audit-logs, onverwachte root-shells, verdachte setuid-binaries en afwijkende processen rond het moment van mogelijke exploitatie. Tools zoals auditd, osquery of een EDR-oplossing kunnen hierbij helpen.
Werkt de workaround met LUKS of dm-crypt?
Ja. LUKS en dm-crypt gebruiken de in-kernel crypto API direct en niet via AF_ALG. Het uitschakelen van algif_aead heeft daarom geen impact op disk-encryption.
Heeft TransIP nog actie nodig op mijn VPS?
Nee. De host- en virtualisatielaag is gepatcht. Je VPS draait je eigen Linux-installatie; die update je zelf met de packages van je distributie.
dnf geeft no updates available. Wat nu?
Forceer eerst een refresh:
sudo dnf clean all
sudo dnf -y upgrade --refreshKrijg je daarna nog steeds geen update, controleer dan of je distributie nog supported is en of je vendor-mirror de update al heeft gesynchroniseerd.
Meer informatie
- Officiële disclosure: https://copy.fail
- Ubuntu-advisory: https://ubuntu.com/blog/copy-fail-vulnerability-fixes-available
- CERT-EU advisory: https://cert.europa.eu/publications/security-advisories/2026-005/
- Microsoft Security Blog: CVE-2026-31431: Copy Fail vulnerability enables Linux root privilege escalation across cloud environments
In dit artikel heb je gecontroleerd welke kernel je VPS gebruikt, de kernel bijgewerkt en eventueel een tijdelijke workaround toegepast. Neem contact op met onze support via je controlepaneel als je twijfelt of jouw distributie nog security-updates ontvangt.