CVE-2026-31431的修補方式

 POC驗證腳本，這是本地權限提升 (LPE)漏洞，修改記憶體內容，達成越權

這個用snort3這種網路型的IDS沒用，要用HIDS或EDR才偵測的到

https://github.com/theori-io/copy-fail-CVE-2026-31431

修補方式

更新核心

這是linux的漏洞

Ubuntu / Debian版本

sudo apt update 

sudo apt upgrade linux-image-generic

sudo reboot

RHEL / CentOS / AlmaLinux版本

sudo dnf update kernel

sudo reboot

----------------------------------------------------------------------------------------------------------------

臨時緩解措施(無法立即重啟時)

停用 AF_ALG 介面：此漏洞透過 AF_ALG 觸發，可以暫時停用相關模組

移除模組

sudo modprobe -r algif_aead

sudo modprobe -r af_alg

停用（防止重開機後再啟動）

echo "blacklist algif_aead" | sudo tee /etc/modprobe.d/vulnerability-fix.conf

echo "blacklist af_alg" | sudo tee -a /etc/modprobe.d/vulnerability-fix.conf

這個方式有個風險，利用核心加密的應用程式會有影響，例如TLS

在停用前，可以執行指令看是否有程式正在連動

lsmod | grep alg

----------------------------------------------------------------------------------------------------------------

清除已污染的快取

如果你覺得系統已被攻擊，可以強制丟棄快取，重新讀取正確的二進位檔案

sudo sync

echo 3 | sudo tee /proc/sys/vm/drop_caches

---------------------------------------------------------------------------------------------------------------

觀察有哪些異常

頻繁或異常的 AF_ALG 與 splice() 的組合

非root使用者執行的程序突然產生具有 uid=0 的子程序

--------------------------------------------------------------------------------------------------------------

反正不管怎麼拖，都是要更新核心

snort3 alloy loki grafana 傳遞alert_json

這個實驗沒完成，LOG一個串一個，除錯有點麻煩，紀錄一下 

snort3的部分用kali-linux2026的版本就有3.12版的

要用apt install snort3 安裝，省去了原始碼編譯

greenbone community edition docker 掛載容器遇到有元件無法下載的問題

 https://greenbone.github.io/docs/latest/22.4/container/index.html

原廠的安裝說明文件，說只能掛在這些系統上

Debian stable (bookworm)

Ubuntu 24.04 LTS

Fedora 35 and 36

CentOS 9 Stream

所以我就在windows上，蓋WSL2，在蓋上Ubuntu24.4測試

依序到要下載建立容器的腳本compose.yaml後，容器下載就出現錯誤，某個元件無法下載，是不是下載有時間限制?

試了一下，每次都是這個無法下載

gsa:

    image: registry.community.greenbone.net/community/gsa:stable-slim

    environment:

      MOUNT_PATH: "/mnt/web"

      KEEP_ALIVE: 1

    healthcheck:

      test: ["CMD-SHELL", "test -e /run/gsa/copying.done"]

      start_period: 5s

    volumes:

      - gsa_data_vol:/mnt/web

後來把它改為這個版本就可以下載了

gsa:

    image: registry.community.greenbone.net/community/gsa:stable

    environment:

      MOUNT_PATH: "/mnt/web"

      KEEP_ALIVE: 1

    healthcheck:

      test: ["CMD-SHELL", "test -e /run/gsa/copying.done"]

      start_period: 5s

    volumes:

      - gsa_data_vol:/mnt/web

掛起來後，執行正常，弱掃正常

執行起來會自動更新，要等一下子，可觀察Log

可參考這篇文，用排程更新

https://blog.jdp.tw/2026/01/14/greenbone-openvas-with-docker-compose-and-cron-automatic-daily-feed-updates/

Greenbone 社群版(OpenVAS) 使用 docker-compose + cron 排程每日自動更新 feed

SecureClaw

專案網址在這裡，有玩龍蝦的人應該知道是什麼

 https://github.com/adversa-ai/secureclaw

SecureClaw is a 360-degree security plugin and skills that audits your OpenClaw installation for misconfigurations and known vulnerabilities, applies automated hardening fixes, and gives your agent behavioral security rules that protect against prompt injection, credential theft, supply chain attacks, and privacy leaks.

Fedora-IoT-raw-43-20251024.0.aarch64.raw

 最近研究一個Fedora-IoT的開源專案

寫進樹莓派後開機沒有預設帳密

所以要在燒入映像檔時就要寫入

先去下載Fedora-IoT-raw-43-20251024.0.aarch64.raw這個版本

建立一個SSH-key

把公鑰加在映像檔寫入

arm-image-installer

--image=Fedora-IoT-raw-43-20251024.0.aarch64.raw.xz       //版本

--target=rpi5             //看你是哪一代的

--media=/dev/sdc       //隨身碟路徑

--resizefs                    

--addkey=/XXX/.ssh/id_XXXX.pub       //公鑰的路徑

--norootpass -y

開機後從遠端SSH使用私鑰登入