C2026D08: CVE-2026-31431 Copy Fail root exploit acties
(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)
Op 30 april 2026 is er een kwetsbaarheid in de linux kernel openbaar gemaakt, genaamd Copy Fail. Dit is een zogeheten “Local Privilege Escalation”, wat betekent dat iedereen die als gewone gebruiker toegang heeft tot een kwetsbaar systeem zich op dat systeem eenvoudig tot superuser (“root”) kan verheffen. Het blijkt dat een groot deel van de linux systemen in de wereld hier kwetsbaar voor zijn.
In de door Hosting & Streaming beheerde systemen is het beeld gemengd; sommige omgevingen zijn wel kwetsbaar, andere niet. Op dit moment zit team H&S nog in de fase van het uitzoeken wat er precies kwetsbaar is en wat de mogelijke impact hiervan kan zijn.
Hoe groot het risoco is verschilt per omgeving. Omgevingen die überhaupt niet kwetsbaar zijn hebben uiteraard een laag risico. Maar dat een omgeving kwetsbaar is hoeft nog niet meteen te betekenen dat dit ook een hoog risico is. Bijvoorbeeld, een omgeving die wel kwetsbaar is, maar niet of alleen heel beperkt toegankelijk is voor de buitenwereld, kan toch een laag risico hebben. Webhosting omgevingen zijn wel een risico, want de mogelijkheid bestaat dat een bug in de website code door een hacker gebruikt kan worden om middels deze local privilege escalation root privileges te krijgen en daarmee het systeem over te nemen. Echter, voor containeromgevingen (zoals CHP) is het beeld genuanceerder. Een potentiele hacker kan dan mogelijk root worden in de container. Maar dat hoeft nog niet te betekenen dat deze uit de container kan breken en ook toegang krijgt tot andere containers op hetzelfde systeem.
We verwachten dat onze leveranciers spoedig patches beschikbaar zullen hebben. Het installeren hiervan vereist een reboot van de systemen. Hoewel dit naar verwachting niet tot onderbrekingen in de dienstverlening zal leiden zullen we deze reboots wel aankondigen als de tijd daar is.
In theorie zijn er op een aantal systemen mitigaties mogelijk (namelijk de bewuste kernel module blokkeren). Alleen de systemen waarop dat kan classificeren we niet als hoog risico, dus voor die systemen kiezen we ervoor om de definitieve fix af te wachten.
Overzicht betrokken omgevingen
| Naam | Wat draait erin | Vulnerable | Risico | Status |
|---|---|---|---|---|
| CHP5 | webhosting omgeving voor omroepen en NPO teams | Ja | Hoog | Voorlopig onbekend of container escapes mogelijk zijn. We wachten op RedHat voor fixes en/of mitigaties |
| Cerberus | CHP/AWS SSO, monitoring, beheer | Ja | Middel | We wachten op AWS voor fixes en/of mitigaties |
| PowerDNS | PowerDNS + 2 bind slaves | Ja | Middel | We wachten op een fix van Debian |
| netboot | DNS, Mail, Icecast, ARLA, Monitoring, redir, backend | Nee | Laag | hier hoeft niets te gebeuren. Later dit voorjaar komt er een rondje reboots om netboot nog veiliger te maken op dit vlak. |
| Proxmox | alle on-prem VM's | Deels | Middel | Proxmox heeft een fix uitgebracht. De planning is om deze op vrijdag 1 mei op de testomgeving en vanaf 4 mei op de productieomgevingen uit te rollen |
| be1 | RCRS | vermoedelijk | Middel | Dit cluster is niet extern te benaderen. We beraden ons op verdere acties. |
We verwachten dat over het weekend de diverse leveranciers (die dat nog niet gedaan hebben) patches beschikbaar zullen stellen en dat deze vanaf maandag 4 mei uitgerold gaan worden.
Bereikbaarheid
Team Hosting&Streaming is gedurende al het onderhoud via de normale kanalen bereikbaar. Zie de contact pagina.