Merhabalar,
2 gün önce tüm linux sistemlerini etkileyen "CVE-2026-31431" kodu verilen bir açık yayınlandı. Bu açık linux sistemlerinde normal bir kullanıcının root olabilmesine olanak sağlıyor. Sizin normal bir Ubuntu sunucunuz var ve içinde diyelim ki Ali isimli bir user var. Bu user bu açık ile root yetkisine sahip olup sunucuyu ele geçiriyor. Genelde herkes sunucusunu sadece root ile kullandığı için bu çok etkilemeyebilir fakat WHM/cPanel' de çok kritik. Çünkü cPanel sunucularda bir site eklediğinizde örneğin abc.com, bu site içinde linux üzerinde yani sunucuda abc isimli bir user oluşturuluyor. Bu user root yetkisi alıp sunucuyu ele geçiriyor. Bu yüzden bu açıktan en çok etkilenenler içinde user olan yani WHM/cPanel sunucular. Aynı durum user oluşturan sistemler içinde geçerli örneğin tüm kontrol panelleri (Plesk, docker sistemi, aapanel vb.). Yani sunucunuz boş bir sunucu sadece root kullanıcısı varsa sorun yok. Ama root kullanıcısı haricinde başka kullanıcılar varsa risk var demektir. Yine de her ihtimale karşı sunucunuzu güncelleyin ve ssh portunu değiştirip dışarıya kapatın.
WHM Panel için;
WHM yani cPanel sunucunuz için WHM' i güncellemeniz yeterli. SSH üzerinden /usr/local/cpanel/scripts/upcp --force kodunu çalıştırıp WHM' i güncelleyin.
CloudLinux için ;
CloudLinux şuan açığı kapattığı kernel' i direkt olarak update altına koymadı test reposundan yükleyeceğiz. SSH üzerinden
CloudLinux 7 : yum --enablerepo=cl7h_beta update 'kernel*' ve sonrasında reboot. "uname -r" ile çıktıya bakın kernel sürümü kernel-4.18.0-553.121.1.lve.el7h.x86_64 veya daha üzeri olmalı.
CloudLinux 8 : yum --enablerepo=cloudlinux-updates-testing update 'kernel*' ve sonrasında reboot. "uname -r" ile çıktıya bakın kernel sürümü kernel-4.18.0-553.121.1.lve.el8.x86_64 veya daha üzeri olmalı.
CloudLinux 9: dnf install -y https://repo.almalinux.org/almalinux...el9.noarch.rpm sonrasında dnf update 'kernel*' ve sonrasınra reboot. "uname -r" ile çıktıya bakın kernel sürümü kernel-5.14.0-611.49.2.el9_7 veya daha üzeri olmalı.
CloudLinux 10: dnf install -y https://repo.almalinux.org/almalinux...l10.x86_64.rpm sonrasında dnf update 'kernel*' ve sonrasınra reboot. "uname -r" ile çıktıya bakın kernel sürümü kernel-6.12.0-124.52.2.el10_1 veya daha üzeri olmalı.
KernelCare kullanıyorsanız sadece "kcarectl --update" kodunu çalıştırın otomatik yüklenecektir.
AlmaLinux için ;
Aynı şekilde kernel canlıda değil test reposunda. SSH üzerinden
sudo dnf install -y almalinux-release-testing
sudo dnf update 'kernel*' --enablerepo=almalinux-testing
sudo reboot
ardından uname -r ile sürümü kontrol edin. Kernel sürümleri şöyle olmalı
AlmaLinux 8 is patched in kernel-4.18.0-553.121.1.el8_10 veya üzeri
AlmaLinux 9 is patched in kernel-5.14.0-611.49.2.el9_7 veya üzeri
AlmaLinux 10 is patched in kernel-6.12.0-124.52.2.el10_1 veya üzeri
AlmaLinux Kitten 10 is patched in kernel-6.12.0-225.el10 veya üzeri
Ubuntu için ;
Ubuntu update ile bunu çözüyor tek yapmanız gereken SSH üzerinden update yapmak ;
sudo apt update && sudo apt upgrade
sonrasında reboot atıp yeniden başlatın. İşimizin garanti olması için kmod güncellemesi de yapalım. Yine SSH üzerinden;
sudo apt update && sudo apt install --only-upgrade kmod
ve ardından reboot. Sunucu açıldıktan sonra dpkg -l kmod kodu ile çıktıya bakın. kmod sürümü aşağıdaki tablodaki gibi olmalı
Ubuntu 18 : 24-1ubuntu3.5+esm1 veya üzeri
Ubuntu 20: 27-1ubuntu2.1+esm1 veya üzeri
Ubuntu 22: 29-1ubuntu1.1 veya üzeri
Ubuntu 24: 31+20240202-2ubuntu7.2 veya üzeri
Ubuntu 25: 34.2-2ubuntu1.1 veya üzeri
Ubuntu 26: Açık yok.
kmod sürümleri böyle veya üzeri ise açık artık yok demektir. Başka bir işleme gerek yoktur. Ama ekstra bir güvenlik daha istiyorum diyorsanız. Bu iki güncellemeyi yapıp bitirdikten sonra SSH üzerinde şunları çalıştırın;
sudo rmmod algif_aead 2>/dev/null
grep -qE '^algif_aead ' /proc/modules && echo "Affected module is loaded" || echo "Affected module is NOT loaded"
ekrana çıktı Affected module is NOT loaded olmalıdır.
Debian için ;
Debian henüz bir patch yayınlamadı. Eğer kernel sürümünüz aşağıdakilerden biriyse açık var demektir. SSH üzerinden uname -r veya hostnamectl kodunu çalıştırın ;
5.10.223-1
5.10.251-3
6.1.159-1
6.1.164-1
6.12.73-1
eğer aşağıdaki kernel sürümleri varsa sorun yok demektir ;
6.12.85-1
6.19.14-1
7.0.3-1
Debian sunucunuzda sudo apt update && sudo apt full-upgrade kodunu çalıştırıp update yapın ve sürekli kontrol edin. Eğer açık olmayan kernel sürümü gelirse sorun yok ama gelmiyorsa geçici olarak çözüm için SSH üzerinden ;
echo "blacklist algif_aead" | sudo tee /etc/modprobe.d/disable-algif.conf
sudo update-initramfs -u
sudo reboot
bu kod ile algif_aead modülünü devre dışı bırakabilirsiniz.
Hepinize geçmiş olsun.
Kaynaklar ;
https://blog.cloudlinux.com/cve-2026...-kernel-update
https://almalinux.org/blog/2026-05-0...431-copy-fail/
https://ubuntu.com/blog/copy-fail-vu...ixes-available
https://security-tracker.debian.org/...CVE-2026-31431
Ek olarak https://copy.fail/ adresini takip edebilirsiniz. Quick run: altında test scripti var fakat bunu canlı ortamda test etmeniz önerilmiyor.
CVE-2026-31431 Açığı Kapatma (WHM, CloudLinux, AlmaLinux, Ubuntu, Debian)
9
●748
- 01-05-2026, 21:33:41Bu konuda ücretli destek almak istiyorum, açığı kapatırken yanlış bir şey yaptım sanırım ne ssh erişebiliyorum ne sitelerime erişebiliyorum 521/522 hatası alıyorum cloudflare. Hetzner'de sunucu aktif görünüyor ve ping atılınca problem yok. Bilgisi olan birisi Pm atabilir mi?
- 01-05-2026, 22:24:58Önlem alan alıyor bende geç gördüm bir baktım bizim hostingin portları kapalı çalıştığım firma güncelleme yapmasına rağmen emin olmadığı için girişleri komple kapatmış en iyisi.Gwindor adlı üyeden alıntı: mesajı görüntüle
- 01-05-2026, 22:38:23Saolun firmanın bir geri dönüş noktası vardır muhtemelen sonuçta vhm panellere eriştiler kendi sunucularıda yedekleniyordur cpanelden bağımsız belki geri yükleme yaparlarGwindor adlı üyeden alıntı: mesajı görüntüle
- 01-05-2026, 22:44:46Konu ile ilgili CPanel'den bir destek talebi geldi ama çözüm ile ilgili bir durum söz konusu değil, sadece geçici bir önlem ve enjekte olmuş dosyaları kontrol edebilmenizi sağlıyor
https://support.cpanel.net/hc/en-us/...ate-04-28-2026 - 02-05-2026, 00:26:232 açık birbirinden farklı.TekLanDC adlı üyeden alıntı: mesajı görüntüle
Cpanel açığı 28 nisan tarihi öncesindeki tüm sürümleri kapsayan cvss skoru 9.8 olan ve uzaktan kod çalıştırma yapılabilen çok kritik bir açık. Maalesef açığın cpanel tarafından çok geç fixlenmesi ve duyurulması güncelleme için sadece 24 saatlik bir süre olması olayın ciddiyetini çok yükseltti birçok kişi ciddi veri kaybı yaşadı.
Konuda bahsedilen açık ise unix kernellerinde yer alan crypto modülü kaynaklı bir açık olumlu tarafı bu açığın uzaktan kod çalıştırma ile değil sunucu içinden ayrıcalık sağlanarak çalışması. Tabi açık açıktır ciddiye alınmalıdır. Konuda güzel bilgiler verilmiş açığın kapatıldığı kerneller paylaşılmış fakat bu kerneller henüz test katmanında olduğu için henüz resmi olarak yayınlanmadı. Tereddüt eden arkadaşlar aşağıdaki komut ile söz konusu crypto modülünü yasaklı duruma getirebilir kernel resmi olarak yayınlandığında yum/apt ile kernellerini güncelleyebilirler.
Komut kullanımlarından doğabilecek sorunlar için sorumluluk size aittir.
sudo grubby --update-kernel=ALL --remove-args="initcall_blacklist=algif_aead_init"
sudo reboot
Önümüzdeki yılllarda bu tür kritik güvenlik açıklarını daha sık göreceğiz ve bu açıklar çok büyük sistemleri de etkileyecek, sistemlerinizi her ne kadar güncel tutsanız da çok kısa periyotlarda ortaya çıkan ve direkt tehdit oluşturan zero-day açıkları birçok güvenli sistemi bile hazırlıksız yakalayabilir. Yedeklemelerinizi asla ihmal etmeyin mutlaka farklı noktaya yedekleme yapın o yedeğe de yüzde yüz güvenmeyin bilgisayarınıza yedek çekin. Ufak ihmaller büyük kayıplarla sonuçlanabilir, sıkıntı yaşayan herkese geçmiş olsun. - 02-05-2026, 03:53:00CVE-2026-31431 ile CVE-2026-41940 ayrı güvenlik açıkları.
Bu paylaşımda CVE-2026-31431 Copy Fail açığını yamalama / kernel güncelleme veya algif_aead işlevsiz bırakma anlatılmış ki gayet faydalı.
Yani Hem linux sunucu + o sunucuda kurulu cPanel'iniz varsa her iki CVE için de işlem yapmanız lazım. Sadece linux ise de sürüm farketmeksizin işlem yapmanız lazım (CL7 de gerek yok ama CLN7 kernel update geldiğinde uygulayın)
Rhel 8 (Centos 8, Almalinux 8, Rockylinux 8) de şöyle bir kernel görmeniz lazım: kernel-4.18.0-553.121.1.el8_10 veya üzeri
Rhel 9 (Centos 9, Almalinux 9, Rockylinux 9) da şöyle bir kernel görmeniz lazım: kernel-5.14.0-611.49.2.el9_7 veya üzeri
Rhel 10 (Centos 10, Almalinux 10, Rockylinux 10) da şöyle bir kernel görmeniz lazım: kernel-6.12.0-124.52.2.el10_1 veya üzeri
CloudLinux LVE olanlarda kernel sonunda lve görmeniz lazım örnek: kernel-4.18.0-553.121.1.lve.el8.x86_6 gibi ..
CL7h (Centos 7 değil, CloudLinux'un desteğini uzattığı sürüm)'de : kernel-4.18.0-553.121.1.lve.el7h.x86_64 veya üstü görmelisiniz.
Kernel güncellemeyecekseniz de algif_aead işlevini ve yeniden yüklenmesini engellemeniz lazım. Grub içine initcall_blacklist ekleyerek de geçici olarak güvenli hale getirebilirsiniz. Deb, ubuntu için ya öyle ya da modprobe.d altına bir kapatma dosyası ekleyebilirsiniz.
Özellikle komut vermiyorum çünkü hatalı bir işlem yaparsanız yine problem olur. Bu yüzden sağlayıcınızdan veya bir IT den destek alın.