近期，根据上级网安部门监测及国家有关部门发布的风险提示发现多款软件和操作系统存在数据窃取和操作系统夺权等严重的安全风险。为进一步加强学校网络安全管理，维护校园网络安全稳定，请各单位和校园网用户做好网络安全防护工作，相关风险提示如下：

风险提示一：关于境外组织通过Word、PDF直取敏感数据文件的风险提示

一、窃取敏感信息方式

攻击者利用了用户对Word和PDF的信任，精心构造了两种诱饵文件。

一是嵌入恶意宏的Word文档—“启用内容”就是“开门揖盗”。攻击者将恶意宏代码嵌入Word文档，伪装成会议通知、合同、补丁说明等常用文件，邮件标题仿官方口吻，极具迷惑性。用户打开文档后，会弹出“启用宏才能正常显示”的提示，一旦点击“启用内容”，宏代码将自动执行，解密释放恶意载荷，生成伪装成合法程序的可执行文件，植入后门，实现开机自启、远程控机，全程静默无提示。

二是伪装成PDF的可执行文件—“双击打开”就会“引狼入室”。这种手法更具欺骗性，主要有两种形式，一类是“双后缀伪装”，文件名看似“xxx.pdf”，实际是“xxx.pdf.exe”，图标显示为PDF，用户双击后，看似打开PDF，实则运行可执行程序，释放后门；另一类是“恶意文件伪装”，将恶意.desktop文件伪装成PDF，用户误点后，触发隐藏命令，下载窃密程序。

二、应对防范措施

一是提高风险意识，防范陌生邮件。立即禁用Office软件默认宏执行功能，仅允许受信任、已签名的宏运行。严禁打开陌生邮件附件中的Word文档，若确需打开，先核实发件人身份，确认无风险后，关闭宏功能再浏览，坚决不点击“启用内容”。

二是警惕PDF陷阱，规范打开流程。接收PDF文件时，先查看文件名后缀，警惕“pdf.exe”双后缀文件，避免双击直接打开。通过正规PDF阅读器打开文件，开启安全模式，禁止PDF自动运行嵌入式程序。不接收陌生来源、无明确用途的PDF文件，尤其是压缩包中的PDF附件。

三是强化终端防护，全面排查隐患。组织终端安全排查，删除SystemProc.exe等恶意程序。实时监控注册表启动项异常写入，清除后门自启配置。部署动态沙箱等安全防护工具，深度查杀伪装文档。

风险提示二：关于数科OFD文档处理软件存在安全漏洞的风险提示

接有关部门通报，北京数科网维技术有限责任公司研发的数科OFD文档处理软件存在升级验证漏洞。该软件SuwellUpdateService程序运行后会监听本机的5000端口，接收并校验执行内网中其他主机发送的数据包。攻击者可通过构造包含命令执行指令的数据包并发送至目标主机，从而利用漏洞“欺骗”程序执行攻击者的命令，进而获取目标主机控制权限。漏洞影响数科OFD文档处理软件Linux信创版，版本3.0.26.0105（不含）以下。

目前，厂商已修复该漏洞并在官网发布安全公告，建议用户及时确认是否受到漏洞影响，尽快采取修补措施或升级至安全版本。官方公告地址：https://www.ofd.cn/details/2026010801?url=true。

风险提示三：Linux内核CVE-2026-31431（Copy Fail）本地提权漏洞风险预警

一、情况概述

近期，Linux内核中被披露存在一个高危的本地权限提升漏洞（漏洞代号：Copy Fail，CVE编号：CVE-2026-31431）。该漏洞由Xint Code研究团队发现，是一个隐蔽且极易触发的内核逻辑缺陷。攻击者利用该漏洞可以实现稳定、确定性的提权操作。

目前，该漏洞的完整利用代码（PoC）已经公开，受影响时间跨度长达近十年（自2017年起），且覆盖所有主流Linux发行版本。云服务器、容器宿主机及多租户环境面临极高的安全风险。

二、风险详情

1.漏洞成因：该漏洞源于Linux内核加密子系统中 authencesn 模块的逻辑缺陷。当攻击者结合使用 AF_ALG 套接字和 splice() 系统调用时，会将目标文件的页缓存（Page Cache）引用暴露在可写的散列表（Scatterlist）中，从而允许无特权的本地用户向系统内任意可读文件（如 setuid 的 su 二进制文件）的页缓存中进行精确的4字节越界写入。

2.漏洞特征：

无条件触发（直线逻辑缺陷）：与Dirty Cow（脏牛）等依赖条件竞争（Race Condition）的漏洞不同，Copy Fail漏洞不需要竞争窗口，运行稳定，不会导致系统崩溃。

极度隐蔽（绕过文件完整性校验）：该漏洞仅修改内存中的页缓存，内核不会将其标记为“脏页”（Dirty）并回写到磁盘。因此，磁盘上的文件保持不变。

极易利用（单文件脚本）：利用代码仅为732字节的Python标准库脚本，无需编译即可在各类架构与发行版上通用。

三、风险危害

1.本地权限提升：任何无特权的本地普通用户均可利用该漏洞篡改高权限进程（如 /usr/bin/su），直接获取系统最高级别的 root 权限。

2.容器逃逸与跨租户攻击：由于操作系统的页缓存在宿主机与所有容器之间共享，容器内的攻击者一旦掌握适当的系统调用权限，即可篡改宿主机的页缓存，实现容器逃逸并接管整个Kubernetes节点或宿主机资源。

3.高危场景威胁：对多用户共享主机、开发机、CI/CD执行器（如GitHub Actions、GitLab Runner等沙盒环境）以及Serverless等多租户云服务造成严重的跨越隔离界限的威胁。

四、受影响范围

该漏洞影响内核版本在 commit 72548b093ee3 (linux/commit/72548b093ee3)（引入，2017年8月9日）至 commit `a664bf3d603d` (linux/commit/a664bf3d603d)（修复补丁，2026年3月31日）之间的所有Linux系统。默认配置下启用或可按需加载 `algif_aead` 模块的系统均在受影响之列。

已知受影响的主流产品及版本包括但不限于：

•Ubuntu 24.04 LTS 及以下版本

•Amazon Linux 2023 及以下版本

•RedHat Enterprise Linux (RHEL) 8 / 9 / 10 及以下版本

•SUSE 16 及以下版本

•Debian / Arch / Fedora / Rocky / Alma / Oracle / OpenEuler 等同期内核版本

不受影响的版本：

•内核主线 7.0 及以上

•稳定版 6.18.22 及以上

•稳定版 6.19.12 及以上

截至撰稿时，仍在长期支持中的受影响内核版本：

•6.12 所有版本

•6.6 所有版本

•6.1 所有版本

•5.15 所有版本

•5.10 所有版本

五、排查方法

1.内核版本自查：通过命令行执行 uname -r 查看当前内核版本，并对照官方修复的内核版本号判断是否处于受影响区间。

2.内核模块排查：检查系统是否加载或允许加载 algif_aead 模块，可执行命令：lsmod | grep algif_aead 或 lsof | grep AF_ALG。

六、处置与修复建议

1.当更新可用时，立即升级内核：各主要Linux发行版厂商正在发布内核更新补丁。建议受影响用户在补丁可用后，尽快通过系统的包管理器（如 apt、yum、dnf）将内核更新至最新版本并重启系统。

# Ubuntu / Debian

apt update && apt upgrade linux-image-$(uname -r)

# RHEL / CentOS / Rocky / Alma

dnf update kernel

# Amazon Linux

yum update kernel

# SUSE

zypper update kernel-default

截至撰稿时 2026年4月30日 14:30，

–Debian 所有支持中版本仍未修复，请参考下文部署缓解措施。

•https://security-tracker.debian.org/tracker/CVE-2026-31431

•https://deb.freexian.com/extended-lts/tracker/CVE-2026-31431

–Ubuntu 仅 26.04 LTS 不受影响，其他支持中版本仍未修复，请参考下文部署缓解措施。

•https://ubuntu.com/security/CVE-2026-31431

–RHEL 8、9、10 仍未修复，请参考下文部署缓解措施。RHEL 6、7 不受影响。

•https://access.redhat.com/security/cve/cve-2026-31431#cve-affected-packages

–openEuler 已独立验证 24.03、24.03-LTS-SP3 可复现，官方仍在调查中，请参考下文部署缓解措施。

•https://www.openeuler.org/en/security/cve/detail/?cveId=CVE-2026-31431&packageName=kernel

–SUSE 12~16 仍未修复，请参考下文部署缓解措施。（除15.6、15SP6、16.0部分内核）

•https://www.suse.com/security/cve/CVE-2026-31431.html

2.部署临时缓解措施（禁用内核模块）：若暂无法重启或升级内核，建议立即禁用相关的漏洞触发模块。使用 root 权限执行以下命令：

# 重定向内核模块加载二进制

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

# 如已经加载该模块则卸载

# 若提示 rmmod: ERROR: Module algif_aead is not currently loaded 可忽略

rmmod algif_aead

# 清空文件系统缓存，使漏洞利用时被篡改的缓存失效

sync && echo 3 >/proc/sys/vm/drop_caches;

# 后续该模块按需加载时，将重定向至 /bin/false ，阻断漏洞利用

•请注意，若卸载模组时提示 rmmod: ERROR: Module algif_aead is builtin.（如 Rocky Linux 8 等发行版），此时该模块无法通过modprobe控制加载。建议升级内核版本并重启。若无法升级内核，并且您的启动由 Grub 引导，可跟随以下步骤操作：

1.编辑 /etc/default/grub ，在 GRUB_CMDLINE_LINUX 增加 initcall_blacklist=algif_aead_init

2.执行 grub2-mkconfig -o /boot/grub2/grub.cfg 或对应发行版的 grub 更新指令。

3.重启系统 （非 GRUB 的其他引导方式请参考其文档增加对应的 CMDLINE_LINUX 参数）

3.容器环境阻断：对于运行未受信任工作负载的容器或Kubernetes集群，建议通过 Seccomp profile 或其他安全策略，直接阻断容器内部的 AF_ALG socket 创建请求。

说明：禁用该模块不会影响 dm-crypt/LUKS、IPsec、SSH 或 OpenSSL 的默认构建等标准加密服务，极少数强制指定使用 AF_ALG 的用户态业务除外。

七、外部参考

•Copy.fail 网站：https://copy.fail/

•漏洞报告者 Xint Code 技术分析：https://xint.io/blog/copy-fail-linux-distributions

•OSS-SEC 邮件列表 https://seclists.org/oss-sec/2026/q2/283

•CNVD 安全公告：https://www.cnvd.org.cn/webinfo/show/12336

以上三则风险提示，请各部门及时自查，如发生相关网络安全事件，各单位应按照《沈阳化工大学网络与信息安全应急预案》要求，第一时间报告网信中心，并采取有效措施将负面影响降到最低。

网络与信息化中心

2026年5月21日