Ulaşım
- Adres:2342 Sk, İpekyol, İpek Ap 49A, 63250 Haliliye/Şanlıurfa
- Telefon:
0505 532 36 38 - eMail: info@alestaweb.com
Linux sunucu yöneticileri için acil uyarı! CVE-2026-31431, "Copy Fail" kod adıyla bilinen kritik Linux çekirdeği (kernel) güvenlik açığı aktif olarak saldırılarda kullanılıyor. CISA, bu açığı KEV (Known Exploited Vulnerabilities) listesine aldı ve federal kurumlar için 15 Mayıs 2026 yama son tarihi belirledi. Alesta Web olarak bu açığın tüm detaylarını ve sunucunuzu nasıl koruyacağınızı anlatıyoruz.
İşte ilginç bir durum: bu güvenlik açığı tam 9 yıl önce, 2017'de Linux çekirdeğine girdi. Ama ta 2026'ya kadar kimse fark etmedi. Peki bu nasıl mümkün? Çünkü açık, çok ince bir optimizasyonun (subtle in-place optimization) içine gizliydi.
CVE-2026-31431, yerel yetki yükseltme (local privilege escalation — LPE) güvenlik açığı. CVSS skoru 7.8 — "yüksek" kategorisinde. Ne anlama geliyor? Saldırgan önce sisteme normal bir kullanıcı olarak erişiyor (initial access), sonra bu açığı kullanarak root yetkisine yükseliyor. Root yetkisi = sistemin tam kontrolü.
CISA bu açığı 1 Mayıs 2026'da KEV listesine ekledi. Federal Civilian Executive Branch (FCEB) kurumları için son yama tarihi (patch deadline) 15 Mayıs 2026. Ama bu yalnızca federal kurumlar için değil — tüm Linux sunucu yöneticileri için acil önlem gerektirir.
Alesta Web olarak yönettiğimiz sunucularda bu yamayı hemen uyguladık. Siz de geciktirmeyin.
Teknik kısmını basitçe anlatalım. Linux çekirdeği 2017'de şifreli işlemlerde (cryptographic operations) bir optimizasyon yaptı: kaynak belleği (source memory) aynı zamanda hedef bellek (destination memory) olarak yeniden kullanmak. Yani "yerinde" (in-place) işlem yapıyor, ayrı bellek ayırmak yerine.
Bu optimizasyon mantıklı geliyor — ama bir saldırgan bunu şöyle istismar edebiliyor:
/etc/passwd, izin dosyaları) yazılarak root erişimi elde ediliyorSaldırganlar genellikle Copy Fail'ı başka bir uzaktan erişim açığıyla (RCE — remote code execution) birlikte kullanıyor. Önce web uygulaması veya VPN cihazındaki bir açıkla sunucuya düşük yetkili giriş yapıyorlar, sonra CVE-2026-31431 ile root oluyorlar. İki aşamalı bir saldırı, son derece etkili (two-stage attack, extremely effective).
2017'den bu yana piyasaya çıkmış hemen her Linux dağıtımı etkileniyor. Yamalı sürüme güncellenmediyseniz risk altındasınız:
| Dağıtım / Distribution | Etkilenen Sürümler / Affected Versions | Durum / Status |
|---|---|---|
| Ubuntu 24.04 LTS | Kernel 6.8.x (yamasız / unpatched) | ⚠️ Yama mevcut (Patch available) |
| Ubuntu 22.04 LTS | Kernel 5.15.x (yamasız) | ⚠️ Yama mevcut |
| RHEL / Rocky Linux 10.1 | Kernel 6.x (yamasız) | ⚠️ Yama mevcut |
| Amazon Linux 2023 | Etkileniyor (affected) | ⚠️ Yama mevcut |
| SUSE Linux Enterprise 16 | Etkileniyor | ⚠️ Yama mevcut |
| Debian, Fedora, Arch | Etkileniyor | ⚠️ Yama mevcut |
1 Mayıs 2026 itibarıyla birden fazla tehdit istihbaratı (threat intelligence) firması gerçek saldırıları belgeledi. Saldırılar rastgele değil — özellikle seçilmiş hedefler:
Saldırı sonuçları: fidye yazılımı (ransomware) dağıtımı, veri sızıntısı (data exfiltration) ve gizli arka kapı kurulumu (backdoor installation). Ciddi sonuçlar.
Ubuntu kullanıyorsanız yama çok basit. Alesta Web olarak Ubuntu 22.04 ve 24.04 için adımları aşağıda:
# Sistem paketlerini güncelle / Update system packages sudo apt update # Kernel dahil tüm güncellemeleri kur / Install all updates including kernel sudo apt upgrade -y # Sadece linux-image paketlerini güncelle / Update only kernel packages sudo apt install --only-upgrade linux-image-generic -y # Yeni kernel sürümünü kontrol et / Check new kernel version uname -r # Değişikliklerin etkili olması için yeniden başlat / Reboot for changes sudo reboot
Linux kernel güncellemesi yeniden başlatma (reboot) gerektiriyor. Üretim ortamında (production environment) bakım penceresi (maintenance window) planlayarak gerçekleştirin. Yeniden başlatmadan önce running işlemlerinizi kaydedin.
# Sistem güncellemelerini kontrol et / Check for updates sudo dnf check-update # Kernel dahil tüm güncellemeleri kur / Install all updates sudo dnf update -y # Yalnızca kernel güncellemeleri / Only kernel updates sudo dnf update kernel -y # Yeni kernel sürümünü doğrula / Verify new kernel version rpm -qa kernel | sort # Yeniden başlat / Reboot sudo reboot
# Paket listelerini güncelle / Update package lists sudo apt-get update # Güvenlik güncellemelerini kur / Install security updates sudo apt-get dist-upgrade -y # Kernel sürümünü kontrol et / Check kernel version uname -r # Yeniden başlat / Reboot required sudo reboot
Güncellemeyi yaptıktan sonra gerçekten yamalı mısınız? Şöyle kontrol edin:
# Mevcut kernel sürümü / Current kernel version uname -r # CVE-2026-31431 için AF_ALG modülü durumu / AF_ALG module status grep -r "af_alg" /proc/modules # Ubuntu için güvenlik güncelleme listesi / Security update list for Ubuntu apt list --installed 2>/dev/null | grep linux-image # Kernel changelog kontrolü / Kernel changelog check apt changelog linux-image-$(uname -r) 2>/dev/null | head -50
Kernel sürümünüz dağıtımınızın resmi güvenlik duyurusundaki yamalı sürümle eşleşiyorsa güvendesiniz. Ubuntu için USN (Ubuntu Security Notice), RHEL için RHSA (Red Hat Security Advisory) sayfalarını kontrol edin.
CVE-2026-31431 "Copy Fail" Linux kernel güvenlik açığı ciddi bir tehdit. Aktif olarak sömürülüyor (actively exploited), CISA KEV listesinde ve 9 yıldır gizlenmiş. Alesta Web olarak net mesajımız şu: Linux sunucularınızı bugün güncelleyin.
Faydalı Linkler / Useful Links:
© 2026 AlestaWeb - Tüm hakları saklıdır.