公告 ID： 2026-027-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 5 月 7 日下午 19:45（太平洋夏令时）
修改日期：2026 年 5 月 13 日下午 13:30（太平洋夏令时）
 

⚠️这是一个持续存在的问题。信息可能会发生变化。有关最新的补丁信息，请参阅我们的安全公告（ID：2026-030-AWS）。

描述：

Amazon 知悉 Linux 内核存在一类与根源问题（CVE‑2026‑31431）相关的问题（CVE-2026-43284）。这些常被称作“DirtyFrag”的问题存在于许多可加载内核模块中，包括 xfrm_user/esp4/esp6。在允许非特权用户直接创建套接字、通过 CAP_NET_ADMIN 创建套接字，或允许创建非特权用户命名空间（用户 + 网络）的系统上，行为者可能可以获得对内核内存的访问权限，进而实现权限提升。

受影响服务需要客户执行的操作

Amazon Linux：Amazon Linux 内核 4.14、5.4、5.10、5.15、6.1、6.12 和 6.18 均受影响。AWS 已发布针对此问题的 Amazon Linux 更新，客户应该应用最新的内核更新。建议您前往 Amazon Linux 安全中心（ALAS）查看与此问题相关的更新信息。

我们建议客户为其环境应用可用的内核更新。要在不应用内核更新的情况下缓解已知攻击向量，客户应该执行以下操作：

1. 使用以下命令检查主机是否加载了任何受影响模块：
   
       lsmod | grep -E "esp4|esp6|rxrpc"
   
   如果输出中包含任何受影响模块，则说明该模块当前已加载。如果是意外使用，请在执行以下命令后重新启动。如果是已知使用，请评估其他缓解方案。
   
   
2. 通过以下命令逐一禁用受影响模块的后续加载：
   
       echo 'install esp4 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
       echo 'install esp6 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
       echo 'install rxrpc /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
   
   或者，如果当前未加载受影响的模块，请使用以下命令禁用所有其他内核模块的加载：
   
       sysctl -w kernel.modules_disabled=1
   
   请注意，此更改将持续生效，直至下次重启。
   
   为了缓解特定于命名空间的攻击向量，可以通过以下命令禁用创建命名空间的选项：
   
       sysctl -w user.max_user_namespaces=0

对于使用上述模块的客户，请监控环境中是否存在异常的 setuid 执行。要了解有关“Copyfail v1”的更多信息，请参阅我们的安全公告。

我们将在安全公告（ID：2026-030-AWS）中的更新可用后立即发布更多信息。

相关安全公告 – copy.fail 变体：

1. 安全公告 2026-029-AWS – CVE-2026-43284（也称为“Fragnesia”）
2. 安全公告 2026-026-AWS – CVE-2026-31431（也称为 copy.fail）

参考：

• CVE-2026-31431
• CVE-2026-43284
• https://explore.alas.aws.amazon.com/CVE-2026-43284.html
• AL2023 – 内核 6.1
• AL2023 – 内核 6.12
• AL2023 – 内核 6.18
• AL2 – 内核 4.14
• AL2 – 内核 5.4
• AL2 – 内核 5.10
• AL2 – 内核 5.15

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。