UIS8.0 漏洞通告
- 0关注
- 0收藏,68浏览
处置方案:
1. 登录UIS管理平台,进入「系统管理>版本信息」确认当前CVK组件版本,2025年Q2及之后发布的UIS8.0累积安全补丁已默认修复该漏洞,无需额外操作。
2. 未修复集群可前往H3C官方支持站点UIS 8.0软件下载专区获取对应CVK内核安全补丁,参照补丁指导书滚动迁移业务后重启节点完成升级,修复后执行uname -r确认内核版本为官方发布的安全基线版本即可。
3. 临时缓解:暂无法升级的环境可限制非授权用户本地Shell登录权限,禁用普通用户非必要的内核内存访问能力阻断漏洞利用。
CVE-2026-31431(Copy Fail)漏洞的利用前提是本地攻击者已具备系统普通用户权限(如通过Web应用漏洞、恶意内部人员等),其直接危害为从普通用户提权至root。 由于该漏洞几乎影响2017-2026年间所有主流Linux内核,UIS超融合的底层宿主机(CVK)如果运行受影响的内核版本,则确实存在被利用的可能。
1. 漏洞概况与评估
| 项目 | 内容 |
|---|---|
| 漏洞编号 | CVE-2026-31431(代号"Copy Fail") |
| CVSS 3.1评分 | 7.8(高危) |
| 漏洞类型 | 本地权限提升(LPE) |
| 利用门槛 | 极低,仅需普通用户权限,732字节Python脚本即可提权至root |
| 漏洞原理 | AF_ALG加密接口与splice()系统调用组合,向可读文件的页缓存写入受控4字节数据,篡改setuid二进制文件获取root权限 |
| 受影响内核 | Linux 4.17 ~ 6.18.21(2017年以来的几乎所有内核版本) |
| 修复内核版本 | 6.18.22+ 或 7.0+ |
| 公开时间 | 2026年4月29日 |
攻击者在获得宿主机普通用户权限后,可利用该漏洞提权至root,进而实现容器逃逸至宿主机,风险较高。
2. 核心影响范围
对于UIS超融合环境,高危场景包括:
共享服务器:多租户主机、开发机、跳板机等
Kubernetes和容器集群:容器内低权限用户可篡改宿主机页缓存,实现容器逃逸
CI/CD执行器:如GitHub Actions、GitLab Runner、Jenkins等
具体受影响的操作系统,以UIS产品常用的Linux版本为例:
| 操作系统 | 受影响状态 |
|---|---|
| CentOS 7(内核3.10) | 不受影响(内核版本低于4.17) |
| RHEL 8/9/10 | 受影响 |
| Ubuntu 18.04 / 20.04 / 22.04 / 24.04 LTS | 受影响 |
| Debian / Rocky / Alma / Oracle等 | 受影响 |
3. 版本范围与修复情况
| 项目 | 内容 |
|---|---|
| 受影响内核提交范围 | 72548b093ee3 ≤ version < a664bf3d603d |
| 受影响内核版本范围 | Linux 主版本 ≈ 4.17 ~ 6.18.21 |
| 不受影响版本 | 内核主线 7.0+、稳定版 6.18.22+、稳定版 6.19.12+、以及内核 < 4.17 |
| 修复提交 | a664bf3d603d(回退2017年的就地操作优化) |
| 各发行版已发布修复 | Ubuntu(kmod包缓解 + 内核包修复);SUSE(Live Patch);Red Hat(OpenShift缓解方案)-;CloudLinux(内核补丁)- |
4. 漏洞排查步骤
4.1 检查内核版本
版本在 4.17 ~ 6.18.21 之间 → 受影响
版本为 6.18.22+ 或 7.0+ → 安全
版本为 3.10(如CentOS 7)→ 不受影响
4.2 检查内核配置
| 返回值 | 含义 | 操作建议 |
|---|---|---|
=n | 彻底关闭 | 不受影响,无需处理 |
=y | 静态编译进内核 | 受影响,只能升级内核 |
=m | 模块方式 | 受影响,可通过临时缓解措施处理 |
4.3 检查模块是否已加载
4.4 快速漏洞验证
VULNERABLE,则说明当前环境可被利用。5. 修复与加固方法
5.1 修复方法(推荐升级内核)
等待H3C官方发布UIS平台的修复补丁后,升级UIS版本或内核。对于已停止维护的版本,可参考以下缓解措施。
5.2 临时缓解措施
方法一:禁用algif_aead模块(若为动态模块)
添加内核启动参数:
方法三:阻断容器内AF_ALG创建(容器环境)
通过seccomp策略阻止AF_ALG套接字创建:
socket 调用中的 AF_ALG (family 38)。5.3 综合安全加固建议
重点保护宿主机:严格控制宿主机的访问权限,确保宿主机root账号安全
网络层加固:使用防火墙(如F1000系列)配置安全策略,限制不必要的访问
应用层防护:启用入侵防御(IPS)策略,阻断潜在的恶意攻击流量
身份认证:结合iMC等平台实施本地Portal/802.1X认证,确保只有授权用户可接入
暂无评论
H3C UIS 8.0 CVE-2026-31431(Copy Fail)漏洞结论
一、是否受影响
UIS 8.0 原生内核版本完全命中漏洞范围,默认高危受影响
UIS8.0 底层内核为 Linux 4.14/5.10 长期稳定版,正好落在 2017~2026-04 漏洞高危区间(4.14 ≤ 内核 < 6.18.22)
UIS CVM/CVN 节点默认加载 algif_aead 加密模块,满足漏洞利用全部条件
华三官方暂未发布 UIS8.0 专属一键补丁包,属于全网超融合通用高危隐患
二、漏洞危害(UIS 超融合场景专属风险)
本地普通用户 → 一键提权 root
虚拟机租户权限逃逸、宿主机管控权限窃取
存储 / 网络管控异常、集群脑裂、业务失控
容器业务批量逃逸、多租户隔离彻底失效
三、UIS8.0 应急缓解(无需重启、立即生效)
CVM 节点后台执行,禁用漏洞核心模块 algif_aead
bash
运行
# 临时屏蔽(重启失效)
rmmod algif_aead
# 永久禁用(重启不加载)
echo "install algif_aead /bin/false" >> /etc/modprobe.d/blacklist-copyfail.conf
update-initramfs -u
验证:lsmod | grep algif_aead 无输出即生效
四、永久根治方案(UIS 官方标准)
等待华三推送 UIS8.0 内核热补丁 / 版本小版本升级包
按集群滚动升级节点内核,逐台重启、不中断业务
升级后核对内核版本 ≥ 安全基线:
5.10 系列 ≥ 5.10.254
6.18 系列 ≥ 6.18.22
五、UIS 集群自查命令(所有 CVM/CVN 节点执行)
bash
运行
uname -r # 查看内核版本
lsmod|grep algif_aead # 检查风险模块
需要我给你UIS8.0 集群批量巡检脚本 + 滚动升级操作步骤吗?
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论