Copy Fail CVE-2026-31431 Linux Güvenlik Açığı ve Alınması Gereken Önlemler

Copy Fail CVE-2026-31431 Nedir?

Copy Fail olarak adlandırılan CVE-2026-31431, Linux kernel tarafında tespit edilen ciddi bir yerel yetki yükseltme güvenlik açığıdır. Bu açık, sistem üzerinde zaten bir kullanıcı hesabına veya komut çalıştırma imkanına sahip olan saldırganın, belirli koşullarda root yetkisi elde etmesine neden olabilir.

Açık, Linux kernel’in kriptografik altyapısında yer alan algif_aead / AF_ALG bileşenleriyle ve splice() sistem çağrısıyla ilişkilidir. Güvenlik araştırmacılarına göre bu zafiyet, 2017 yılından bu yana birçok Linux kernel sürümünü etkileyebilecek niteliktedir.

Bu nedenle özellikle çok kullanıcılı sunucular, hosting altyapıları, container ortamları, Kubernetes node’ları, CI/CD runner sistemleri ve paylaşımlı barındırma sunucuları için dikkate alınması gereken önemli bir güvenlik riskidir.

Açığın Etkisi Nedir?

CVE-2026-31431 açığı, dışarıdan doğrudan uzaktan erişim sağlayan klasik bir RCE açığı değildir. Ancak saldırganın sistem üzerinde düşük yetkili bir kullanıcı hesabına, web shell’e, container içine veya sınırlı komut çalıştırma imkanına sahip olması durumunda, bu açık kullanılarak root yetkisine yükselme riski oluşabilir.

Bu zafiyetin öne çıkan riskleri şunlardır:

• Düşük yetkili bir Linux kullanıcısı root yetkisine yükselebilir.

• Paylaşımlı hosting ortamlarında kullanıcı izolasyonu riske girebilir.

• Container yapılarında host sistemi etkileyebilecek senaryolar oluşabilir.

• Bazı dosya bütünlüğü kontrol araçları, değişiklik diske yazılmadığı için saldırı izlerini fark etmeyebilir.

• Açığa ait PoC/exploit bilgisinin kamuya açık hale gelmiş olması riski artırır.

Bazı değerlendirmelere göre Copy Fail, neredeyse tüm büyük Linux dağıtımlarını etkileyebilecek bir LPE, yani Local Privilege Escalation açığıdır ve kolay kullanılabilir bir exploit’in kamuya açık olması nedeniyle hızlı aksiyon alınmalıdır.

Hangi Sistemler Etkileniyor?

Açık, kernel sürümüne ve dağıtımın ilgili kernel kodunu içerip içermediğine bağlıdır. Plesk’in yayınladığı bilgilendirmeye göre yaklaşık olarak 2017’den itibaren, Linux kernel 4.14 ve sonrası bazı sistemler etkilenebilmektedir. Potansiyel olarak etkilenen sistemler arasında şunlar yer almaktadır:

• Debian 10, 11, 12

• Ubuntu 18.04, 20.04, 22.04, 24.04

• AlmaLinux 8, 9, 10

• CloudLinux 7h Hybrid, 8, 9

• Red Hat Enterprise Linux 8.x, 9.x

• RockyLinux 8/9

• Amazon Linux

• SUSE tabanlı sistemler

AlmaLinux tarafında yapılan açıklamada, desteklenen AlmaLinux sürümlerinin etkilendiği ve kernel güncellemelerinin yayınlanmaya başlandığı belirtilmiştir.

CloudLinux tarafında ise CloudLinux 7’nin etkilenmediği, ancak CloudLinux 7h, 8, 9 ve 10 tarafında güncelleme veya KernelCare livepatch durumunun takip edilmesi gerektiği belirtilmektedir.

cPanel, Plesk ve Hosting Sunucuları İçin Risk Nedir?

Bu açık doğrudan cPanel veya Plesk yazılımındaki bir güvenlik açığı değildir. Sorun, Linux işletim sistemi kernel seviyesindedir. Ancak cPanel, Plesk, DirectAdmin veya benzeri panellerin çalıştığı Linux sunucular da alttaki kernel sürümüne bağlı olarak etkilenebilir.

Özellikle şu tip sunucularda risk daha yüksektir:

• Birden fazla müşterinin bulunduğu paylaşımlı hosting sunucuları

• SSH erişimi verilen hosting hesapları

• Eski veya güncellenmemiş kernel kullanan sunucular

• CloudLinux/AlmaLinux tabanlı hosting altyapıları

• Container, Docker veya Kubernetes kullanan sistemler

• Web uygulaması zafiyeti nedeniyle saldırganın sunucuda komut çalıştırabildiği ortamlar

Bu nedenle sadece panel güncellemesi yapmak yeterli değildir. Kernel tarafının da güncel ve güvenli olduğundan emin olunmalıdır.

Sunucunuzun Etkilenip Etkilenmediğini Nasıl Kontrol Edebilirsiniz?

Öncelikle mevcut kernel sürümünüzü kontrol edebilirsiniz:

uname -r

İşletim sistemi bilgisi için:

cat /etc/os-release

CloudLinux veya KernelCare kullanılan sistemlerde KernelCare durumunu kontrol etmek için:

kcarectl --info

KernelCare güncellemesi çalıştırmak için:

kcarectl --update

CVE bilgisinin patch çıktısında görünüp görünmediğini kontrol etmek için:

kcarectl --info | grep CVE-2026-31431

Plesk’in açıklamasına göre, KernelCare kullanılıyorsa kcarectl --update komutu ile reboot gerektirmeden livepatch uygulanabilir. Ancak kcarectl --info | grep CVE-2026-31431 çıktısı boş dönüyorsa, ilgili kernel için henüz patch uygulanmamış olabilir ve işletim sistemi/kernel güncelleme adımları takip edilmelidir.

AlmaLinux / RockyLinux / RHEL Tabanlı Sistemlerde Güncelleme

AlmaLinux, RockyLinux, RHEL ve benzeri sistemlerde kernel güncellemelerini kontrol etmek için aşağıdaki komutlar kullanılabilir:

dnf clean all
dnf update -y

Kernel güncellemesi geldiyse sistemin yeni kernel ile açılması için reboot gerekir:

reboot

Reboot sonrası çalışan kernel tekrar kontrol edilmelidir:

uname -r

CloudLinux tarafında bazı güncellemeler test/beta kanallarından yayınlandığı için, üretim ortamlarında işlem yapmadan önce ilgili CloudLinux duyurusu dikkatle kontrol edilmelidir. CloudLinux, KernelCare livepatch ve patched kernel durumunu kendi blogunda güncel olarak paylaşmaktadır.

Ubuntu / Debian Sistemlerde Güncelleme

Ubuntu ve Debian sistemlerde güncellemeler için aşağıdaki komutlar kullanılabilir:

apt update
apt upgrade -y

Kernel güncellemesi yüklendiyse sistem yeniden başlatılmalıdır:

reboot

Reboot sonrası çalışan kernel sürümü kontrol edilmelidir:

uname -r

Geçici Önlem Var mı?

CloudLinux tarafından paylaşılan bilgiye göre, kernel güncellemesi veya KernelCare livepatch hemen uygulanamıyorsa geçici azaltıcı önlem olarak algif_aead initcall’ın boot sırasında devre dışı bırakılması önerilmektedir. Bu yöntem reboot gerektirir:

grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"
reboot

Ancak burada önemli bir nokta vardır: CloudLinux açıklamasına göre internette dolaşan modprobe.d tabanlı bazı geçici çözümler RHEL/AlmaLinux/CloudLinux ailesinde işe yaramayabilir. Çünkü algif_aead modülü bazı sistemlerde harici modül değil, kernel içine gömülü olarak gelebilir. Bu nedenle yanlış workaround uygulamak sahte bir güvenlik hissi oluşturabilir.

Kalıcı ve önerilen çözüm, ilgili dağıtımın yayınladığı güvenli kernel sürümüne geçmek veya KernelCare gibi livepatch çözümleriyle ilgili CVE patch’inin uygulandığını doğrulamaktır.

Bu Açık Uzaktan Kullanılabilir mi?

CVE-2026-31431, temel olarak yerel yetki yükseltme açığıdır. Yani saldırganın doğrudan internet üzerinden sadece bu açıkla sunucuya erişmesi beklenmez.

Ancak pratikte risk yine de büyüktür. Çünkü saldırgan önce zayıf bir web uygulaması, hatalı dosya izni, ele geçirilmiş bir hosting hesabı, SSH hesabı veya container üzerinden sisteme sınırlı erişim elde edebilir. Ardından bu açığı kullanarak root yetkisine yükselmeyi deneyebilir.

Bu nedenle özellikle hosting firmaları, çok kullanıcılı sunucular ve container altyapısı yöneten ekipler için açık ciddi kabul edilmelidir.

Corelux Olarak Önerimiz

Corelux olarak Linux sunucu yöneten kullanıcıların aşağıdaki adımları gecikmeden uygulamasını öneriyoruz:

1. Sunucunuzun işletim sistemi ve kernel sürümünü kontrol edin.

2. Dağıtımınızın CVE-2026-31431 için yayınladığı güvenlik duyurularını takip edin.

3. Kernel güncellemelerini uygulayın.

4. KernelCare kullanıyorsanız livepatch durumunu doğrulayın.

5. Güncelleme sonrası çalışan kernel sürümünü mutlaka kontrol edin.

6. Paylaşımlı hosting veya çok kullanıcılı sistemlerde SSH erişimlerini gözden geçirin.

7. Container/Kubernetes ortamlarında host kernel güncellemelerini ihmal etmeyin.

8. Web uygulamalarında komut çalıştırmaya sebep olabilecek açıkları ayrıca kontrol edin.

9. Gerekiyorsa geçici azaltıcı önlemleri uygulayın, ancak bunların kalıcı çözüm olmadığını unutmayın.

Sonuç

Copy Fail olarak bilinen CVE-2026-31431, Linux kernel seviyesinde ortaya çıkan ve düşük yetkili kullanıcıların root yetkisine yükselmesine neden olabilen önemli bir güvenlik açığıdır.

Bu açık doğrudan cPanel, Plesk veya web hosting paneli kaynaklı olmasa da, bu panellerin çalıştığı Linux sunucular alttaki kernel sürümüne bağlı olarak etkilenebilir. Özellikle çok kullanıcılı, paylaşımlı veya container tabanlı sistemlerde risk daha yüksektir.

Sunucularınızın güvenliği için kernel güncellemelerini takip etmeniz, KernelCare kullanıyorsanız patch durumunu doğrulamanız ve güncelleme sonrası çalışan kernel sürümünü kontrol etmeniz önemlidir.

Corelux olarak müşterilerimizin sunucu güvenliğini yakından takip ediyor, kritik güvenlik açıklarına karşı gerekli güncelleme ve kontrollerin zamanında yapılmasını öneriyoruz.