Merhabalar,

2 gün önce tüm linux sistemlerini etkileyen "CVE-2026-31431" kodu verilen bir açık yayınlandı. Bu açık linux sistemlerinde normal bir kullanıcının root olabilmesine olanak sağlıyor. Sizin normal bir Ubuntu sunucunuz var ve içinde diyelim ki Ali isimli bir user var. Bu user bu açık ile root yetkisine sahip olup sunucuyu ele geçiriyor. Genelde herkes sunucusunu sadece root ile kullandığı için bu çok etkilemeyebilir fakat WHM/cPanel' de çok kritik. Çünkü cPanel sunucularda bir site eklediğinizde örneğin abc.com, bu site içinde linux üzerinde yani sunucuda abc isimli bir user oluşturuluyor. Bu user root yetkisi alıp sunucuyu ele geçiriyor. Bu yüzden bu açıktan en çok etkilenenler içinde user olan yani WHM/cPanel sunucular. Aynı durum user oluşturan sistemler içinde geçerli örneğin tüm kontrol panelleri (Plesk, docker sistemi, aapanel vb.). Yani sunucunuz boş bir sunucu sadece root kullanıcısı varsa sorun yok. Ama root kullanıcısı haricinde başka kullanıcılar varsa risk var demektir. Yine de her ihtimale karşı sunucunuzu güncelleyin ve ssh portunu değiştirip dışarıya kapatın.

WHM Panel için;

WHM yani cPanel sunucunuz için WHM' i güncellemeniz yeterli. SSH üzerinden /usr/local/cpanel/scripts/upcp --force kodunu çalıştırıp WHM' i güncelleyin.

CloudLinux için ;

CloudLinux şuan açığı kapattığı kernel' i direkt olarak update altına koymadı test reposundan yükleyeceğiz. SSH üzerinden

CloudLinux 7 : yum --enablerepo=cl7h_beta update 'kernel*' ve sonrasında reboot. "uname -r" ile çıktıya bakın kernel sürümü kernel-4.18.0-553.121.1.lve.el7h.x86_64 veya daha üzeri olmalı.
CloudLinux 8 : yum --enablerepo=cloudlinux-updates-testing update 'kernel*' ve sonrasında reboot. "uname -r" ile çıktıya bakın kernel sürümü kernel-4.18.0-553.121.1.lve.el8.x86_64 veya daha üzeri olmalı.
CloudLinux 9: dnf install -y https://repo.almalinux.org/almalinux...el9.noarch.rpm sonrasında dnf update 'kernel*' ve sonrasınra reboot. "uname -r" ile çıktıya bakın kernel sürümü kernel-5.14.0-611.49.2.el9_7 veya daha üzeri olmalı.
CloudLinux 10: dnf install -y https://repo.almalinux.org/almalinux...l10.x86_64.rpm sonrasında dnf update 'kernel*' ve sonrasınra reboot. "uname -r" ile çıktıya bakın kernel sürümü kernel-6.12.0-124.52.2.el10_1 veya daha üzeri olmalı.

KernelCare kullanıyorsanız sadece "kcarectl --update" kodunu çalıştırın otomatik yüklenecektir.

AlmaLinux için ;

Aynı şekilde kernel canlıda değil test reposunda. SSH üzerinden

sudo dnf install -y almalinux-release-testing
sudo dnf update 'kernel*' --enablerepo=almalinux-testing
sudo reboot

ardından uname -r ile sürümü kontrol edin. Kernel sürümleri şöyle olmalı

AlmaLinux 8 is patched in kernel-4.18.0-553.121.1.el8_10 veya üzeri
AlmaLinux 9 is patched in kernel-5.14.0-611.49.2.el9_7 veya üzeri
AlmaLinux 10 is patched in kernel-6.12.0-124.52.2.el10_1 veya üzeri
AlmaLinux Kitten 10 is patched in kernel-6.12.0-225.el10 veya üzeri

Ubuntu için ;

Ubuntu update ile bunu çözüyor tek yapmanız gereken SSH üzerinden update yapmak ;

sudo apt update && sudo apt upgrade

sonrasında reboot atıp yeniden başlatın. İşimizin garanti olması için kmod güncellemesi de yapalım. Yine SSH üzerinden;

sudo apt update && sudo apt install --only-upgrade kmod

ve ardından reboot. Sunucu açıldıktan sonra dpkg -l kmod kodu ile çıktıya bakın. kmod sürümü aşağıdaki tablodaki gibi olmalı

Ubuntu 18 : 24-1ubuntu3.5+esm1 veya üzeri
Ubuntu 20: 27-1ubuntu2.1+esm1 veya üzeri
Ubuntu 22: 29-1ubuntu1.1 veya üzeri
Ubuntu 24: 31+20240202-2ubuntu7.2 veya üzeri
Ubuntu 25: 34.2-2ubuntu1.1 veya üzeri
Ubuntu 26: Açık yok.

kmod sürümleri böyle veya üzeri ise açık artık yok demektir. Başka bir işleme gerek yoktur. Ama ekstra bir güvenlik daha istiyorum diyorsanız. Bu iki güncellemeyi yapıp bitirdikten sonra SSH üzerinde şunları çalıştırın;

sudo rmmod algif_aead 2>/dev/null
grep -qE '^algif_aead ' /proc/modules && echo "Affected module is loaded" || echo "Affected module is NOT loaded"

ekrana çıktı Affected module is NOT loaded olmalıdır.

Debian için ;

Debian henüz bir patch yayınlamadı. Eğer kernel sürümünüz aşağıdakilerden biriyse açık var demektir. SSH üzerinden uname -r veya hostnamectl kodunu çalıştırın ;

5.10.223-1
5.10.251-3
6.1.159-1
6.1.164-1
6.12.73-1

eğer aşağıdaki kernel sürümleri varsa sorun yok demektir ;

6.12.85-1
6.19.14-1
7.0.3-1


Debian sunucunuzda sudo apt update && sudo apt full-upgrade kodunu çalıştırıp update yapın ve sürekli kontrol edin. Eğer açık olmayan kernel sürümü gelirse sorun yok ama gelmiyorsa geçici olarak çözüm için SSH üzerinden ;


echo "blacklist algif_aead" | sudo tee /etc/modprobe.d/disable-algif.conf
sudo update-initramfs -u
sudo reboot

bu kod ile algif_aead modülünü devre dışı bırakabilirsiniz.


Hepinize geçmiş olsun.


Kaynaklar ;

https://blog.cloudlinux.com/cve-2026...-kernel-update
https://almalinux.org/blog/2026-05-0...431-copy-fail/
https://ubuntu.com/blog/copy-fail-vu...ixes-available
https://security-tracker.debian.org/...CVE-2026-31431

Ek olarak https://copy.fail/ adresini takip edebilirsiniz. Quick run: altında test scripti var fakat bunu canlı ortamda test etmeniz önerilmiyor.