Copy.Fail (CVE-2026-31431) — больше чем LPE

[checkpoint]

Весело у вас там.

[Xelld]

А потом добавляем к атакам через общий page cache большие кластеры kubernetes в каком-нибудь enterprise, с одинаковыми базовыми образами у большинства сервисов - получается совсем неприятно.

После таких вот приколов kata/firecracker/etc уже не выглядят чем-то избыточным.

[DJester]

Поэтому и предлагают отключить algif_aead модуль в качестве workaround чтобы блокировать интерфейс AF_ALG

[isden]

А можно еще и сам AF_ALG заблокировать. Про это почему-то встречал упоминания только пару раз буквально.

[strvv]

Кстати, не сильно сложно и закрыть все эти с AF_ALG флагом, выпущенные рекомендации у астры и альтов посмотрел.

[isden]

У нас вскрылся забавный момент с закрытием AF_ALG - совершенно внезапно перестал работать sendmail из постфикса, при вызове его из юнитов. При том что сама ядерная фича не инициализируется. Подозреваю тут какой-то баг с seccomp.