Negli ultimi giorni il mondo Linux è stato scosso da una nuova vulnerabilità critica soprannominata Copy Fail, una falla che potrebbe mettere a rischio milioni di sistemi. Non si tratta di un problema teorico o difficile da sfruttare: al contrario, è un exploit semplice, affidabile e già potenzialmente utilizzato in attacchi reali.
Cos’è la vulnerabilità Copy Fail
La falla, identificata come CVE-2026-31431, riguarda il kernel Linux e consente a un utente con pochi privilegi di ottenere accesso completo al sistema (root).
In pratica:
- un attaccante locale può modificare dati nella memoria del sistema (page cache)
- queste modifiche non vengono rilevate dai controlli tradizionali
- il sistema continua a funzionare normalmente… ma è compromesso
Il problema è legato al modo in cui alcune funzioni del kernel gestiscono operazioni di copia e crittografia, in particolare con syscall come splice() e interfacce come AF_ALG.
Perché è così pericolosa
Copy Fail non è una vulnerabilità qualsiasi. Ci sono tre motivi principali che la rendono particolarmente critica:
1. Funziona praticamente ovunque
Colpisce la maggior parte delle distribuzioni Linux dal 2017 in poi, inclusi:
- Ubuntu
- Debian
- Red Hat
- SUSE
2. Exploit semplice e universale
Il codice di attacco:
- è piccolo (anche poche centinaia di byte)
- non richiede modifiche specifiche per ogni sistema
- funziona “out of the box” su più distribuzioni
3. Invisibile ai controlli
Uno degli aspetti più inquietanti è che:
- le modifiche avvengono in memoria
- i file su disco non risultano alterati
- strumenti come AIDE o Tripwire non rilevano nulla
In altre parole: il sistema può essere compromesso senza lasciare tracce evidenti.
Una minaccia già sfruttata
Le autorità di sicurezza informatica hanno segnalato che:
- il bug è stato inserito tra le vulnerabilità attivamente sfruttate
- esistono exploit pubblici funzionanti
- gli attacchi potrebbero aumentare rapidamente
Questo significa che occorre correre ai ripari e aggiornare i nostri sistemi il prima possibile.
Il ruolo dell’intelligenza artificiale
Un dettaglio interessante (e preoccupante) è come è stata scoperta questa falla.
La vulnerabilità è stata individuata grazie a strumenti di scansione basati su AI, che hanno analizzato il codice del kernel trovando un errore logico profondo in pochissimo tempo.
Come proteggere il tuo sistema Linux
La risposta delle principali distribuzioni Linux alla vulnerabilità Copy Fail (CVE-2026-31431) è stata complessivamente rapida, anche se con tempistiche diverse. Di seguito una panoramica su quali sistemi risultano già protetti e come.
Arch Linux e Gentoo
Le distribuzioni rolling release come Arch Linux e Gentoo sono state tra le più veloci ad integrare la correzione.
- Fix importato direttamente upstream
- Disponibile poco dopo il rilascio delle patch nelle serie kernel 7.0 / 6.19
- Sistemi aggiornati risultano già protetti senza interventi complessi
Amazon Linux
Amazon Linux ha rilasciato kernel aggiornati per entrambe le versioni supportate.
- Patch inclusa nei pacchetti ufficiali
- Aggiornamento disponibile tramite repository standard
Debian
Debian ha distribuito kernel aggiornati per le versioni supportate, tra cui:
- Bookworm
- Trixie
Versioni come 6.12.85-1 e successive includono la patch.
Assicuratevi di avere attivo il repository -security per ricevere l’aggiornamento.
Fedora
Fedora Linux (versione 42 e successive) ha integrato rapidamente la correzione.
- Inclusione del commit di fix upstream
- Sistemi aggiornati automaticamente protetti
RHEL, AlmaLinux e Rocky Linux
AlmaLinux
AlmaLinux ha reagito prontamente:
- Kernel patchati disponibili per versioni 8, 9 e 10
- Disponibili nei repository ufficiali
Red Hat e Rocky Linux
Red Hat Enterprise Linux e Rocky Linux hanno avuto una risposta più lenta:
- Red Hat ha rilasciato la patch il 4 maggio
- Rocky Linux è atteso a breve con aggiornamenti equivalenti
👉 Consigliato verificare manualmente gli aggiornamenti disponibili.
SUSE / openSUSE
Le distribuzioni SUSE Linux Enterprise e openSUSE hanno già distribuito il fix:
- Patch disponibile tramite
zypper - Inclusa nei canali ufficiali di aggiornamento
Ubuntu
Ubuntu ha coperto tutte le versioni supportate:
- 18.04
- 20.04
- 22.04
- 24.04
- 26.04
I kernel aggiornati includono già la patch Copy Fail.
