Linux Kernel’de Kritik Açık (CVE-2026-31431): Linux Sunucularında “Copy
Fail” Hataları Tehlikenin Habercisi Olabilir

Linux çekirdeğinin (kernel) kriptografi alt sisteminde tespit edilen yeni bir
güvenlik açığı, Linux sunucu yöneticilerinin son haftalarda log dosyalarında
gördüğü “copy_from_user fail” ve “copy_to_user fail” mesajlarının arkasındaki
gerçek nedeni ortaya koydu. CVE-2026-31431 kodlu açık, başta CloudLinux,
AlmaLinux, RHEL ve CentOS olmak üzere modern kernel kullanan tüm
dağıtımlarda hosting altyapısını etkileme potansiyeli taşıyor.

cPanel destek ekibi’de konuya ilişkin resmi bir teknik bildirim (Knowledge Base
makalesi 40184022594071) yayımlayarak yöneticilere durumu izlemelerini
önerdi. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ise açığı
1 Mayıs 2026’da Bilinen İstismar Edilen Açıklar (KEV) kataloğuna ekledi ve
federal kurumlar için 15 Mayıs 2026 son tarihini belirledi.

Açığın Tekniği: algif_aead Modülünde Bellek Eşleme Hatası

CVE-2026-31431, Linux kernel’in kriptografi alt sisteminde yer alan
algif_aead modülünde bulunan bir yanlış kaynak transferi açığı (CWE-669:
Incorrect Resource Transfer Between Spheres) olarak sınıflandırılıyor.
CVSS 3.1 puanı 7.8 (yüksek seviye) olarak hesaplandı.

Açığın özünde, kaynak (source) ve hedef (destination) bellek bölgelerinin
farklı haritalamalardan (mappings) gelmesi durumunda kernel’in işlemi yerinde
(in-place) yapmaya çalışması yatıyor. Güvenli olan yaklaşım dışarıda
(out-of-place) işlem; kernel bunu doğru tespit etmediğinde:

– copy_from_user / copy_to_user çağrıları başarısız oluyor
– Sistem log’larına “copy fail” hata satırları düşüyor
– Belirli koşullarda kernel bellek yazımı tutarsız hale geliyor
– Yetkili olmayan yerel kullanıcılar belleğe sızabiliyor

Saldırı vektörü yerel (Local — AV:L); yani saldırganın sunucuda en azından
düşük yetkili bir kullanıcı oturumu açabilmesi gerekiyor. Paylaşımlı hosting
ortamlarında bu koşul kolayca sağlandığı için bu sınıfta açıklar **çok
kullanıcılı sunucular için** kritik kabul ediliyor.

Etkilenen Kernel Sürümleri

NIST Ulusal Açıklık Veritabanı (NVD) verilerine göre aşağıdaki Linux kernel
sürüm aralıkları açıktan etkileniyor:

– 4.14 – 5.10.253 arası tüm sürümler
– 5.11 – 5.15.203 arası
– 5.16 – 6.1.169 arası
– 6.2 – 6.6.136 arası
– 6.7 – 6.12.84 arası
– 6.13 ve sonrası RC sürümleri (6.19.11’e kadar)

Bu aralık RHEL 7/8/9, CentOS 7, AlmaLinux 8/9, Rocky Linux 8/9, CloudLinux
6/7/8 ve modern Ubuntu LTS dağıtımlarının tamamını kapsıyor. Kernel.org
üzerinden çoklu yamalar yayınlandı; dağıtım sağlayıcıları (Red Hat, CloudLinux
ve AlmaLinux) kendi backport sürümlerini sırasıyla dağıtıyor.

cPanel Linux Sunucularında Belirtiler

cPanel ekibinin bildirimine göre etkilenen sunucularda /var/log/messages,
/var/log/kern.log veya dmesg çıktısında aşağıdakine benzer satırlar görülebilir:

kernel: algif_aead: copy_from_user failed
kernel: algif_aead: copy_to_user failed
audit: type=1700 … res=failed comm=”…”

Bu hatalar:

– Sertifika ve şifreleme yenileme işlemlerinin sessizce başarısız olmasına
– SSL/TLS bağlantılarında kararsızlığa
– cPanel’in kendi kriptografi rutinlerinde tutarsız davranışa
– Bazı durumlarda kernel panic ve sunucu yeniden başlatmaya yol açabiliyor

Sunucunuzda yukarıdaki hatalardan birini gördüyseniz, sistem **muhtemelen
yamasız ve aktif istismar riski altındadır.

Korunma Yöntemleri

1. Mevcut Kernel Sürümünüzü Kontrol Edin

Sunucunuza SSH ile bağlanıp şu komutu çalıştırın:

uname -r

Çıkan sürüm yukarıdaki etkilenen aralıklardan birine giriyorsa yama
gereklidir.

2. Dağıtım Bazında Yama Adımları

AlmaLinux / RHEL / CentOS:

yum clean all
yum update kernel
reboot

CloudLinux:

yum clean all
yum update kernel
cagefsctl –force-update
reboot

Ubuntu / Debian:

apt update
apt upgrade linux-image-$(uname -r)
reboot

Yamadan sonra kernel sürümünü tekrar uname -r ile doğrulayın.

3. KernelCare Kullanıcıları İçin

CloudLinux KernelCare aboneliği olan sunucular için yamayı yeniden
başlatma yapmadan canlı uygulayabilirsiniz:

kcarectl –update
kcarectl –info

“Latest patch level” satırında en güncel patch seti görünmelidir.

4. Hemen Yama Uygulayamıyorsanız (Geçici Önlem)

Kernel modülünü kapatmak işlemsel uyumluluk sorunlarına yol açabilir;
bu nedenle sadece kritik durumda ve uygulama uyumluluğu doğrulandıktan
sonra yapılmalıdır:

echo “blacklist algif_aead” > /etc/modprobe.d/blacklist-algif_aead.conf
modprobe -r algif_aead

Not: Bu önlem SSL/TLS sağlama, OpenSSL crypto operasyonları ve bazı VPN
yazılımlarında soruna yol açabilir. Üretim sunucularında yama uygulamak
tercih edilmelidir.

5. Paylaşımlı Hosting Müşterileri İçin

Paylaşımlı hosting kullanıcılarının kernel’e doğrudan erişimi yoktur;
yamayı sağlayıcınız uygular. Yine de:

– Hosting sağlayıcınıza yamanın uygulandığı tarihi sorun
– cPanel hesap parolanızı yenileyin
– Tüm yedeklerinizin güncel olduğunu doğrulayın
– Eğer tek başına bir VPS/VDS kullanıyorsanız yukarıdaki kernel
güncelleme adımlarını uygulayın

İstismar Riski ve Aciliyet

CVE-2026-31431 için kavram doğrulama (proof-of-concept) exploit kodları
kamuya açık olarak yayımlandı. CISA’nın 15 Mayıs 2026 son tarihi, açığın
ciddiyetinin ve aktif istismar potansiyelinin somut göstergesi.

Çok kullanıcılı sunucularda (paylaşımlı hosting, reseller hosting,
container/VPS yoğun ortamlar) yerel saldırı vektörü gerçek bir tehdit
oluşturuyor: tek bir hesap kompromize olduğunda saldırgan sistem genelinde
ayrıcalık yükseltme deneyebilir.

Sistem yöneticileri, hosting sağlayıcıları ve site sahiplerine net çağrı:
kernel’i bekletmeden güncelleyin, log’larda “copy fail” hatası varsa derhal
denetim başlatın.

Kaynaklar

– NIST National Vulnerability Database — CVE-2026-31431
– CISA Known Exploited Vulnerabilities Catalog (1 Mayıs 2026 ekleme)
– cPanel Knowledge Base — Article 40184022594071: “CVE-2026-31431
copy/fail reported for linux kernels”
– kernel.org Linux Kernel Mailing List (algif_aead patch series)
– CloudLinux Security Advisories
– AlmaLinux Security Advisory

Yazı gezinmesi