O Rocky Linux acaba de atravessar uma semana intensa no front de segurança. Entre os dias 11 e 14 de maio, o projeto divulgou patches para duas vulnerabilidades sérias de escalonamento de privilégios no kernel Linux — CopyFail e Dirty Frag — e, como resposta estrutural a esse tipo de situação, lançou um novo repositório de segurança opcional. Para quem usa Rocky como base de workstation ou servidor de produção audiovisual, vale entender o que aconteceu e o que muda na prática.
CopyFail (CVE-2026-31431): uma falha presente desde 2017
A CopyFail foi divulgada em 29 de abril por pesquisadores da Xint Code (Theori) e está registrada como CVE-2026-31431. A falha está presente em praticamente todo kernel Linux mainstream construído desde 2017.
O problema reside no módulo algif_aead do kernel — a interface de socket AEAD da API de criptografia para o espaço de usuário (AF_ALG). Uma falha lógica no authencesn, encadeada através do AF_ALG e da chamada de sistema splice(), permite que um usuário local sem privilégios realize uma escrita controlada de 4 bytes no page cache. Ao corromper a cópia em memória de um binário setuid como /usr/bin/su — sem tocar nada no disco — um atacante pode escalar para root em segundos.
O que torna o CopyFail particularmente preocupante é a confiabilidade. O proof-of-concept de 732 bytes em Python não depende de race conditions, não exige ajustes por distribuição e não requer privilégios especiais. O mesmo script funciona sem modificações em diferentes distros. Ferramentas de integridade de arquivos não detectam nada porque nada no disco é alterado. Um vetor silencioso e portátil — exatamente o tipo de problema que não dá para ignorar em ambientes com múltiplos usuários ou nodes compartilhados.
Os patches estão disponíveis para Rocky Linux 8.10, 9.7 e 10.1. Para aplicar, basta executar sudo dnf --refresh update 'kernel*' seguido de reboot. Uma nota importante: no Rocky Linux, o módulo algif_aead é compilado diretamente na imagem do kernel (CONFIG_CRYPTO_USER_API_AEAD=y), não como módulo carregável. A orientação que circulou em outros canais sobre desabilitar o módulo via rmmod não se aplica aqui — a atualização do kernel é a correção correta.
Dirty Frag: o segundo gatilho
Praticamente em paralelo, surgiu o Dirty Frag — outra vulnerabilidade de escalonamento de privilégios locais no kernel, também com exploit público disponível antes que as correções upstream estivessem amplamente distribuídas. Assim como o CopyFail, o Dirty Frag se destaca pela confiabilidade da exploração: pesquisadores de segurança caracterizaram o ataque como altamente determinístico, o que significa que qualquer atacante com acesso local tem um caminho direto para privilégios elevados. rockylinux
Ambientes que devem tratar isso com urgência especial incluem sistemas com múltiplos usuários e acesso via shell, workloads em containers e infraestrutura de CI, clusters HPC e sistemas universitários, além de qualquer ambiente multi-tenant onde o acesso local é compartilhado ou facilmente obtido. Estações de trabalho de uso individual com acesso físico controlado têm risco menor, mas a atualização ainda é recomendada.
O repositório de segurança: uma exceção deliberada
A resposta do projeto a esses dois incidentes vai além dos patches pontuais. O Rocky Linux lançou um repositório de segurança opcional, projetado para um cenário específico e estreito: uma vulnerabilidade significativa é pública, o código de exploit existe, e os fixes upstream ainda não estão disponíveis. Esse é o critério. Não é um canal de fast-track de uso geral e não substitui o processo normal de release do Rocky Linux.
Isso representa uma mudança de postura relevante. O Rocky Linux foi construído sobre um compromisso de se manter em sincronia com o Enterprise Linux upstream — sem surpresas, sem forks, sem desvios. Essa estabilidade é exatamente o que faz organizações confiarem o projeto com seus workloads de produção. Mas a estabilidade tem uma lacuna: quando uma vulnerabilidade séria é divulgada publicamente antes que os fixes upstream estejam amplamente disponíveis, os administradores ficam esperando, às vezes por dias, enquanto o código de exploit já circula.
O repositório fica desabilitado por padrão — isso é intencional. A experiência padrão do Rocky Linux permanece exatamente o que sempre foi: previsível, estável e totalmente compatível com o upstream. Administradores que queiram acesso a fixes acelerados podem ativar o repositório quando precisarem.
Os pacotes nesse repositório são explicitamente versionados para serem substituídos pelo próximo release upstream. Quando o Red Hat, por exemplo, publicar o fix dele, substituirá automaticamente o pacote do Rocky. Isso é intencional — o projeto quer que os usuários voltem para os pacotes alinhados ao upstream o mais rápido possível.
Para ativar pontualmente: sudo dnf --enablerepo=security update. Para habilitação permanente, basta configurar via DNF como qualquer outro repositório.
O que isso significa para quem usa Rocky em produção audiovisual
O Rocky Linux ocupa um lugar específico no ecossistema Linux para audiovisual: é a plataforma com suporte oficial da Blackmagic para o DaVinci Resolve e um dos principais ambientes de teste do Blender. Essa posição implica que muitas instalações rodam em máquinas com acesso local compartilhado — estações em salas de cor, servidores de render em rede interna, nodes de pipeline VFX. Exatamente o perfil de ambiente onde vulnerabilidades de escalonamento de privilégios locais têm impacto real.
A combinação de dois exploits públicos com alta confiabilidade de execução, surgindo em janela de dias, justifica a atualização imediata. O novo repositório de segurança, por sua vez, é um sinal positivo de maturidade do projeto: uma solução estrutural que não abandona o compromisso de compatibilidade com o upstream, mas reconhece que há momentos em que esperar tem custo.
