Discussion :

[Patrick Ruiz]

Copy Fail : cette vulnérabilité est considérée comme l’une des plus graves à toucher Linux depuis des années. Elle permet d’obtenir des privilèges root sur toutes les distributions disponibles depuis 2017.

Des chercheurs en informatique ont découvert une faille dans le noyau Linux que des pirates peuvent exploiter pour obtenir des privilèges root. Son nom de baptême : « Copy Fail ». Presque toutes les distributions Linux disponibles depuis 2017 sont concernées.

Les points clés à retenir

• Nature de la faille : Il s'agit d'un bug de logique dans le noyau Linux qui permet la corruption du cache de pages, spécifiquement lors de l'utilisation de mécanismes de copie mémoire comme splice et AF_ALG.
• Impact : Un utilisateur sans droits spéciaux peut injecter du code ou modifier des fichiers système, lui permettant de prendre le contrôle total de la machine (root).
• Gravité : Elle est considérée comme extrêmement sérieuse car elle affecte la grande majorité des distributions Linux dont le noyau a été compilé depuis 2017.

Copy Fail : Un seul script Python pour mettre à mal toutes les distributions Linux disponibles depuis 2017

Le rapport fait état de ce que les chercheurs ont découvert cette vulnérabilité à l'aide de l'outil d'intelligence artificielle Xint Code. Il s'agit d'une erreur logique qui permet aux utilisateurs locaux du système d'effectuer un accès en écriture déterministe et contrôlé de 4 octets au cache de page de n'importe quel système de fichiers accessible en lecture sur un ordinateur. À l'aide d'un script Python de 732 octets, les chercheurs parviennent à manipuler un fichier binaire avec le drapeau setuid et obtiennent ainsi les privilèges root (CVE-2026-31431, CVSS 7.8, risque « élevé »).

Les chercheurs en sécurité informatique expliquent en outre que le noyau ne marque pas la page manipulée de façon appropriée pour la réécriture sur le disque, de sorte que le fichier reste inchangé et que de simples vérifications de somme de contrôle ne détectent pas la manipulation. Cependant, lors de l'accès effectif au fichier, le cache de pages est utilisé. Cela permet également de franchir les limites des conteneurs, car le cache de pages est partagé sur l'hôte. Plus précisément, les chercheurs en informatique annoncent qu'ils publieront des détails supplémentaires concernant les échappées à partir de conteneurs Kubernetes.

Bien que cette découverte ait été facilitée par l'intelligence artificielle, elle repose sur des analyses de l'interaction entre le sous-système de cryptographie de Linux et les données du cache de pages. Les fournissent en sus une preuve de concept de l’exploit. Le script Python, d'une taille de 732 octets, confère des privilèges root aux attaquants locaux sur, par exemple, Ubuntu 24.04 LTS avec le noyau 6.17.0-1007-aws, Amazon Linux 2023 avec le noyau 6.18.8-9.213.amzn2023, RHEL 10.1 avec le noyau 6.12.0-124.45.1.el10_1, et SUSE 16 avec le noyau 6.12.0-160000.9-default. Les chercheurs de la vulnérabilité ont au moins testé avec succès ces combinaisons.

CVE-2026-31431 a/k/a CopyFail

> Linux LPE
> Description sounds like AI slop
> Exploit is legit
> Impacts every Linux kernel from 2017 - Now
> Proof-of-concept released
> It's Wednesday?https://t.co/FXgjWW7lOV

— vx-underground (@vxunderground) April 29, 2026

Copy Fail : Un correctif ainsi que des mesures palliatives temporaires sont disponibles

Les chercheurs ont fourni un correctif pour le code source du noyau. Des versions mises à jour du noyau devraient désormais être disponibles auprès des principales distributions. À titre de mesure provisoire, il peut toutefois être utile de bloquer la création de sockets AF_ALG via seccomp ou de mettre le module algif_aead sur liste noire afin que le noyau ne le charge pas : echo « install algif_aead /bin/false » > /etc/modprobe.d/disable-algif-aead.conf && rmmod algif_aead 2>/dev/null dans le terminal permet d'effectuer cette opération et de décharger le module de la mémoire.

Source : billet de blog

Et vous ?

Avez-vous eu connaissance de cette vulnérabilité ? Quelles mesures avez-vous prises ?

Voir aussi :

Une vulnérabilité avec un score CVSS de 10 a été découverte dans le noyau Linux, seuls les systèmes avec ksmbd activé sont concernés, une MAJ a été publiée pour sa correction

La version 6.2 du noyau Linux laisserait prévoir de nombreuses améliorations du système de fichiers, dans le même temps, les systèmes de fichiers Linux de nouvelle génération n'avancent pas vite

Linus Torvalds annonce la disponibilité de Linux 6.1 : après 31 ans, un deuxième langage est admis pour le développement du noyau, c'est le Rust, considéré comme candidat à la mise au rebut du C

[Artaeus]

A force de faire grossir les OS, d'ajouter des tas d'API et module ... On finit forcément par créer des failles et bugs.
(et j'omets les cas où les failles sont ajoutées volontairement par des services de renseignement)

[OuftiBoy]

Artaeus,

A force de faire grossir les OS, d'ajouter des tas d'API et module ... On finit forcément par créer des failles et bugs.
(et j'omets les cas où les failles sont ajoutées volontairement par des services de renseignement)

Que ce soit les OS ou les langages de programmation, on abuse trop souvent de couches qui s'empilent, s'entre-croisent, au lieu de corriger la racine d'un problème que ce soit pour ajouter une fonctionnalité inutile ou même utile, car pouvant déjà être réalisée en utilisant les briques qui existent déjà, en les combinant tout simplement. Au final toutes ces fonctionnalités, même correctement architecturées font grossir et devenir obèse, qui un langage, qui un OS.

On a perdu de vue que la simplicité, la lisibilité, la stabilité permettent d'avoir une compréhension bien plus facile de tout cela... Trop d'abstractions tue l'abstraction.

That's life.

BàV et Peace & Love.

[kain_tn]

Avez-vous eu connaissance de cette vulnérabilité ? Quelles mesures avez-vous prises ?

Oui. Aucune mesure à prendre car le temps de la divulgation publique, mes serveurs étaient déjà patchés ou juste non-vulnérables (merci pour la mesure de mitigation; ça peut servir pour des distributions vulnérables).

J'ai testé avec des versions stables et old-stables de Debian et Devuan (donc avec des kernels allant du 6.1.0-45 pour le plus ancien au 6.12.85-1 pour le plus récent), et aucun souci.

Pour ceux qui veulent essayer eux-mêmes, ou juste voir les détails, le POC original est disponible là: https://github.com/theori-io/copy-fail-CVE-2026-31431

C'est sans doute un peu plus problématique pour la partie Kubernetes car elle permettrait également du "Kubernetes escape", mais je n'ai pas encore eu le temps de regarder comme ça fonctionne.