● news.bsdnet.hu

EgyCopy Failnévre keresztelt, súlyos Linux kernel sérülékenység (CVE-2026-31431) került nyilvánosságra, amely lehetővé teszi, hogy egy helyi felhasználó root jogosultságot szerezzen. A hiba a kernel kriptográfiai alrendszerében található és a beszámolók szerint már 2017 óta jelen van a kódbázisban. A sebezhetőség különösen problémás, mert egyszerűen és determinisztikusan kihasználható, nincs szükség race condition-ökre vagy környezetfüggő trükkökre. Egy rövid, néhány száz soros exploit elegendő ahhoz, hogy root shellt biztosítson. Ami igazán érdekes, hogy a hibát nem klasszikus módon találták meg: a kutatókAI-támogatottkódelemzést használtak. A modern eszközök (LLM-ek, fuzzing és statikus analízis kombinációja) képesek olyan logikai inkonzisztenciákat kiszúrni, amelyek emberi szemmel könnyen rejtve maradnak egy ekkora projektben, mint a Linux kernel. Ez jól mutatja az iparági trendet: az AI nem váltja ki a security kutatókat, de drasztikusan felgyorsítja a hibakeresést. Ennek azonban van egy árnyoldala is: ugyanazok az eszközök a támadók kezében is működnek, így a sérülékenységek felderítése és kihasználása közti időablak egyre rövidül. Röviden: nem csak egy újabb kernel bugról van szó, hanem arról, hogy az AI belépett a sérülékenység-kutatás fő áramába — és ez a tempó a jövőben csak nőni fog. Patch your Linux boxes!https://t.co/Rcp8RhZLhais a trivially exploitable logic bug in Linux, reachable on all major distros released in the last 9 years. A small, portable python script gets root on all platforms.Found by the teams at@theori_ioand@xint_officialMore… — Xint (@xint_official)April 29, 2026 (A cikk nyomokbanMesterséges Intelligenciaáltal szolgáltatott adatokattartalmaz, így a tartalmát érdemes duplán ellenőrizni!) Már megint az AI! PS: van weboldala, tehát veszélyes! trey @ gépház zárt forráskódúvá kell tenni a kernelt, és akkor mindenféle gyüttment nem futtat rajta éájt :)) Vagy beégetni a prociba. :) σ→0, SNR<1 (A semleges részecskékkel nincs mérhető kölcsönhatás) https://www.esp8266.org ASIC kell ide! Nem, kiadás előtt át kell futtatni az akkor elérhető modelleken és rendszeresen újraelemezni az új modellekkel. Lehet, ehhez érdemes lenne kalapozni egy kis pénzt, de megérné. Ausztria.Minden egyetemi HPC gép elérhetetlen prevenciós célból. Nem találták meg a "Mitigation" fejezetet? :D https://github.com/rootsecdev/cve_2026_31431#mitigation Szerintem viszont nem akarják kilöní az éppen futó alkalmazásokat (reboot szükséges szerintük).Azért én se lennék boldog, ha futna az elemzésem 2-3 hete és kezdhetném újra.Törik  fejüket, hogy részleges update megoldható-e, le lehet-e választani ideiglenesen néhányat, ahol már sok munkaóra benne van, a többivel meg űjraindulni, csak ugye ilyenkor szokott bukü lenni, hogy rossz ethernet/power kábelt tépnek ki a falból :)Mondjuk én 150 db 40 perceset szeretnék futtani, de sebaj, így legalább közöltem a fönökkel, hogy keine HPC, ergo indulok hamarabb haza a munka ünnepére :) . Ha követed a linket, kiderül, hogy nem kell hozzá reboot: kernelmodul blacklistinget csinál és ha be van töltve, unloadolja a modult. Persze ha korábban exploitolták és beraktak backdoort, az ellen nem véd. Valamint ha nem moduláris a kernel vagy ez a funkció nem modulként lett fordítva, akkor sem jó, de ez könnyen ellenőrizhető (és manapság azért már elég általános). Közben végeztem egy keresést és Debian, Ubuntu, SUSE, SLES, Fedora elvileg modulból használja, míg RHEL kernelekben statikusan konfigurálva van, ottinitcall_blacklist=algif_aead_initparaméter kell és egy reboot, hogy érvényre jusson. Minden munka le lett lőve. Én nem értek hozzá, én csak felhasználó vagyok, nem üzemeltető. meg lehet kirakni egy seccomp rule-t de ha a helyi IT bizt.szabályzat előírja a teljes leállást és offline keresését a backdooroknak, akkor leállnak akkor is, ha értenek hozzá. De akkor az nem egy reboot. Bár, ha boot során van egy minden file-re hash check eleve kidolgozva és beüzemelve, akkor egy reboot megadja a backdoormentességet Az ELTE hpc-ben nem volt sem elérhetetlen időszak, sem kényszerett reboot meg lehetett ezt csinálni finoman is viszont a komondort is rebootolták. Valószínű a kötelező reboot azért lett, mert külön security pozíció van, akinek felelős vezetője nem érdekelt a folyamatos üzemben és nem is ért ilyen mélyen a linuxhoz. LLM és fuzzing - pont jól jön, hogy van egy ilyen slop generátor :) A patchwork már egy ideje futtat AI ellenőrzést a beküldött patcheken, nem is rosszul. De nyilván más egy kódtöredék vizsgálata, mint a komplett, egyben működő kódé. Linus maga is inkább az ellenőrzési oldalon támogatja az AI megjelenését, szerintem ezzel egyet is lehet érteni. Ha hülyeséget talál, azt még mindig lehet ignorálni, de +1 szemmel semmit sem veszítünk. Az AI kodgeneralas miatt muszaj is AIbal segiteni a code reviewt meg a teszteket. Rengeteg ilyen van mostanaban. Jonnek azAI startup-okakik abbol probalnak kreditet szerezni, hogy raeresztik a tooljaikat az osszes letezo open source projektre es fossak a security reportokat. Nem mondom, vannak koztuk teljesen valid talalatok is, a reportok pedig lenyegesen jobb minoseguek mint amiket emberek keszitettek, de melot generalnak rendesen: van hogy egy heten beesik 15-20 report olyan projektre amit tulnyomo reszben szabadidejukben visznek a nepek. Egyik nagyvállalat előadásának képernyőmegosztásos részleténél (értsd: "elfogtunk egy levelet") úgy láttam az oldalon hogy ki lett adva a mánágereknek hogy "hozni kell az AI számokat". Hogy mit jelent ez, azt már sajnos az egy pillanatra megosztott képernyőn nem láttam! Nalunk nincs (meg?) ilyen target, de altalaban az van, hogy megveszik az AI toolt az embereknek, aztan ki sem probaljak kb., mert olvastak valahol, hogy az AI az bullshit. Szerintem ha lehuznam most a riportot, hogy a sok ezer GH Copilot licencunkbol ki mennyit hasznal, a harmadanal nulla request lenne per ho, masik harmada meg kevesebb mint a felet hasznalna el a kvotajanak. Képzeld, ha használnák! Az AI így is veszteséges. Gondolom nem ártana szervezett képzés, amivel csak az lehet még gond, hogy területeneként teljesen máshogy kellhet használni. Az, hogy szabadidőben tanulja valaki, nem biztos, hogy belefér. Persze igény vóna rá, de család, nem munkahelyi feladatok lehet rosszalják.