公告 ID：2026-027-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 5 月 7 日 19:45 (太平洋夏令時間)
修改日期：2026 年 5 月 13 日 13:30 (太平洋夏令時間)
 

⚠️這是一個持續的問題。資訊可能會變更。請參閱我們的安全公告 (ID：2026-030-AWS) 以取得最新的修補資訊。

描述：

Amazon 已獲悉 Linux 核心中存在與原始問題 (CVE-2026-31431) 相關的一類問題 (CVE-2026-43284)。通常被稱為「DirtyFrag」的這些問題存在於多個可載入模組中，包括 xfrm_user/esp4/esp6。若系統允許非特權使用者直接建立通訊端、透過 CAP_NET_ADMIN 權限建立通訊端，或允許建立非特權使用者命名空間 (user+net)，攻擊者可能取得核心記憶體的存取權限，進而提升其權限。

受影響服務的客戶應對措施

Amazon Linux：Amazon Linux 核心 4.14、5.4、5.10、5.15、6.1、6.12 與 6.18 版本受到影響。AWS 已發布解決此問題的 Amazon Linux 更新，客戶應套用最新的核心更新。我們建議參考 Amazon Linux Security Center (ALAS)，以取得與此問題相關的最新資訊。

我們建議客戶為其環境套用可用的核心更新。為在不套用核心更新的情況下緩解已知的攻擊途徑，客戶應採取下列行動

1. 使用以下指令檢查主機上是否已載入所有受影響的模組：
   
       lsmod | grep -E "esp4|esp6|rxrpc"
   
   若輸出結果列出任一受影響模組，表示該模組目前已載入。若這些模組屬於非預期用途，請在執行以下指令後重新啟動。若這些模組屬於已知用途，請評估其他緩解選項。
   
   
2. 使用以下指令，逐一停用受影響模組的未來載入：
   
       echo 'install esp4 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
       echo 'install esp6 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
       echo 'install rxrpc /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
   
   或者，若受影響模組目前尚未載入，請使用以下指令停用所有其他核心模組的載入：
   
       sysctl -w kernel.modules_disabled=1
   
   請注意，此變更為永久性，直到下次重新啟動前都會生效。
   
   為緩解命名空間相關的攻擊途徑，以下指令會停用建立命名空間的選項：
   
       sysctl -w user.max_user_namespaces=0

對於使用上述模組的客戶，請監控您的環境中是否有異常的 setuid 執行行為。如需更多關於「Copyfail v1」的資訊，請參閱我們的安全公告。

待我們的安全公告 (ID：2026-030-AWS) 發布更新後，將隨即提供更多相關資訊。

相關安全公告 – copy.fail variants：

1. 安全公告 2026-029-AWS – CVE-2026-43284 (也稱為「Fragnesia」)
2. 安全公告 2026-026-AWS – CVE-2026-31431 (也稱為 copy.fail)

參考資料：

• CVE-2026-31431
• CVE-2026-43284
• https://explore.alas.aws.amazon.com/CVE-2026-43284.html
• AL2023 – kernel 6.1
• AL2023 – kernel 6.12
• AL2023 – kernel 6.18
• AL2 – kernel 4.14
• AL2 – kernel 5.4
• AL2 – kernel 5.10
• AL2 – kernel 5.15

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。