公告 ID： 2026-027-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 5 月 7 日下午 19:45（太平洋夏令时）
修改日期：2026 年 5 月 8 日上午 10:15（太平洋夏令时）
 

描述：

Amazon 知悉 Linux 内核存在一类与根源问题（CVE‑2026‑31431）相关的问题。这些常被称作“DirtyFrag”的问题存在于许多可加载内核模块中，包括 xfrm_user/esp4/esp6 and ipcomp4/ipcomp6。在允许非特权用户直接创建套接字、通过 CAP_NET_ADMIN 创建套接字，或允许创建非特权用户命名空间（用户 + 网络）的系统上，行为者可能可以获得对内核内存的访问权限，进而实现权限提升。

受影响服务需要客户执行的操作

我们正在努力确认受影响版本的完整范围。

在补丁发布前，为缓解已知攻击向量，客户应该执行以下操作：

1. 使用以下命令检查主机是否加载了任何受影响模块：
   
   lsmod | grep -E "esp4|esp6|rxrpc"
   
   如果输出中包含任何受影响模块，则说明该模块当前已加载。如果是意外使用，请在执行以下命令后重新启动。如果是已知使用，请评估其他缓解方案。
   
2. 通过以下命令逐一禁用受影响模块的后续加载：
   
   echo 'install esp4 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
   echo 'install esp6 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
   echo 'install rxrpc /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
   
   或者，如果当前未加载受影响的模块，请使用以下命令禁用所有其他内核模块的加载：
   
   sysctl -w kernel.modules_disabled=1
   
   请注意，此更改将持续生效，直至下次重启。
   
   为了缓解特定于命名空间的攻击向量，可以通过以下命令禁用创建命名空间的选项：
   
   sysctl -w user.max_user_namespaces=0
    

对于使用上述模块的客户，请监控环境中是否存在异常的 setuid 执行。

我们正在准备更新以解决这些问题。要了解有关“Copyfail v1”的更多信息，请参阅我们的安全公告。

我们将在更新可用后立即发布更多信息。

参考：

• CVE-2026-31431

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。