Falha de Cópia: 732 Bytes para Acesso Root em Todas as Principais Distribuições Linux

A vulnerabilidade CVE-2026-31431 é um bug de lógica no template criptográfico authencesn do kernel Linux. Sockets AF_ALG, ao usar splice(), podem alimentar páginas de page cache diretamente em scatterlists graváveis. Durante o rearranjo de bytes ESN, authencesn escreve 4 bytes em dst[assoclen + cryptlen] como espaço de rascunho, ultrapassando o buffer de saída e atingindo páginas de page cache encadeadas de qualquer arquivo legível. Um exploit Python de 732 bytes encadeia sendmsg() + splice() + recv() para acionar escritas controladas de 4 bytes na page cache de /usr/bin/su, injetando shellcode que é executado como root quando o binário setuid é iniciado. O mesmo script funciona sem modificações em Ubuntu, Amazon Linux, RHEL e SUSE, pois as páginas corrompidas nunca são marcadas como "sujas" para writeback. A vulnerabilidade surgiu da intersecção de três mudanças: o comportamento de escrita temporária de authencesn em 2011, o suporte a splice() do AF_ALG em 2015 e a otimização in-place do algif_aead em 2017, que encadeou páginas de page cache em scatterlists de destino graváveis via sg_chain(). A correção envolveu reverter para operação out-of-place e separar req->src de req->dst.