该漏洞涉及 Linux 内核加密 API（AF_ALG）与页面缓存处理机制中的逻辑缺陷，影响范围覆盖 2017 年以来多数主流 Linux 发行版。

攻击者一旦在受影响系统中获得普通用户权限，便可能通过该漏洞将权限提升至 Root。对于使用 LXC、LXD、OpenVZ、Docker、Kubernetes 等共享内核或容器化环境的服务商和用户，这一漏洞尤其值得关注。

独立内核虚拟化环境的影响

以 Geelinx 为例，其云产品采用标准 KVM 硬件级虚拟化架构，每台虚拟机拥有独立内核与底层隔离能力。

因此，该漏洞的主要风险集中在实例内部本地提权场景。对于 KVM、Hyper-V 等独立内核虚拟化环境，当前漏洞无法直接造成虚拟机逃逸，宿主机与租户之间的隔离边界仍然有效。

实例内部仍需排查风险

云厂商可以保障底层基础设施安全，但实例内部的 Guest OS 仍由用户自行维护。

如果实例系统内核处于受影响版本范围内，并且存在以下场景，就需要尽快评估风险：

• 多用户共享同一实例；
• 实例内运行 Docker、Kubernetes、LXC、LXD 等容器环境；
• 运行第三方代码或来源可信度较低的程序；
• 对外提供可上传、可执行代码的业务。

在这些场景中，攻击者可能借助漏洞完成实例内部的本地提权。

修复与缓解建议

建议用户尽快检查业务系统所使用的 Linux 内核版本，并根据业务情况采取以下措施。

方案一：升级内核补丁

优先通过系统包管理器升级内核，例如 apt、yum 等，将系统更新至已包含 mainline commit a664bf3d603d 修复内容的安全版本。

升级完成后，建议在业务低峰期重启实例，使新内核正式生效。

方案二：临时禁用受影响模块

如果短期内无法重启系统，可先通过禁用 algif_aead 内核模块降低风险。以 Root 权限执行：

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf

rmmod algif_aead 2>/dev/null || true

该操作主要影响显式调用 AF_ALG 引擎的应用。常规 SSH、IPsec、OpenSSL 默认构建等加密通信通常可继续正常运行。

参考链接

漏洞详情：https://copy.fail