CopyFail Patching Guide

CopyFail er en CPU-relateret side-channel sårbarhed i hardware-accelereret kryptografi.
På en sårbar server kan dette i værste fald muliggøre læk af kryptografiske nøgler fra brugerrum.

CVE: CVE-2026-31431

Anbefalet handling (patch)

Generelt: Opgrader alle packages og genstart serveren.

Ubuntu

sudo apt update && sudo apt install --only-upgrade kmod
sudo reboot

Rocky Linux / Oracle Linux

Afventer

Verificering af patch

Du kan bruge følgende Python-script til at verificere om mitigationen er blevet anvendt korrekt:

python3 -c 'import socket; s=socket.socket(38,5,0);
try:
    s.bind(("aead","authencesn(hmac(sha256),cbc(aes))"))
    print("AEAD interface present")
except OSError:
    print("AEAD interface disabled")'

Forventet output efter patching:
AEAD interface disabled

Hvis outputtet viser “AEAD interface present”, er serveren stadig sårbar.

Midlertidig workaround (hvis patch ikke er mulig nu)

Hvis serveren ikke kan patches straks, kan hardware-accelereret kryptografi midlertidigt deaktiveres for berørte services/applikationer (fx via relevante environment variables), indtil patch og genstart kan gennemføres.

Bemærk: Dette kan have performance-påvirkning, men reducerer risikoen.

Kernel configuration options

Mitigationen afhænger af kernel configuration:

• Hvis kernel config har CONFIG_CRYPTO_USER_API_AEAD=m:

  echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif.conf
  sudo rmmod algif_aead
  

• Hvis kernel config har CONFIG_CRYPTO_USER_API_AEAD=y:

  Tilføj initcall_blacklist=algif_aead_init til kernel command line og reboot.

Sidst opdateret: 1. maj 2026