Une vulnérabilité sévère a été identifiée dans le noyau Linux sous la référence CVE-2026-31431, surnommée “Copy Fail”. Elle permet à un utilisateur local sans privilège particulier d’obtenir les droits root de manière déterministe. Des preuves de concept publiques existent et l’exploitation active est confirmée.
Détails techniques
La faille réside dans le module algif_aead, qui expose les opérations de chiffrement authentifié (AEAD) via les sockets AF_ALG. En mode de traitement en place (in-place), lorsque les tampons source et destination partagent les mêmes structures mémoire, l’algorithme authencesn(hmac(sha256),cbc(aes)) effectue une écriture non contrôlée de 4 octets au-delà de la zone de sortie déclarée, directement dans les pages du cache du noyau.
Cette écriture hors limites permet de corrompre la vue en mémoire de fichiers lisibles — sans modification sur le disque — comme /usr/bin/su ou /etc/passwd, conduisant à une élévation de privilèges vers root.
- Type : CWE-669 — transfert incorrect de ressources entre sphères mémoire
- Vecteur : local, complexité faible, aucune interaction utilisateur
- Score CVSS v3.1 : 7.8 (Élevé)
- Vecteur complet :
AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Systèmes affectés
Les noyaux Linux compilés entre 2017 et avril 2026 sont potentiellement vulnérables. Les principales distributions concernées :
| Distribution | Versions affectées |
|---|---|
| Ubuntu | 20.04, 22.04, 24.04 |
| Debian | 11, 12, 13 |
| Red Hat / RHEL | 8, 9, 10, 10.1 |
| Amazon Linux | 2023 |
| SUSE / openSUSE | 16 |
| Arch, Fedora, Rocky, AlmaLinux | Versions récentes |
Ubuntu 26.04 et les noyaux ≥ 6.18.22, ≥ 6.19.12 ou ≥ 7.0 ne sont pas affectés.
Mesures à appliquer
1. Mettre à jour le noyau (action prioritaire)
Appliquer dès que possible les versions corrigées :
Linux kernel ≥ 6.18.22
Linux kernel ≥ 6.19.12
Linux kernel ≥ 7.0
Les correctifs sont disponibles sur kernel.org et via les canaux de mise à jour des distributions.
2. Mitigation temporaire
Si le patch ne peut pas être appliqué immédiatement, désactiver le module algif_aead :
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead 2>/dev/null || true
3. Environnements conteneurisés
Pour les clusters Kubernetes et les environnements CI/CD : bloquer la création de sockets AF_ALG via une politique seccomp, même sur des systèmes non encore patchés.
Priorités
Cette vulnérabilité est inscrite au catalogue KEV (Known Exploited Vulnerabilities) de la CISA depuis le 1er mai 2026 avec une date limite d’application fixée au 15 mai 2026. Les nœuds Kubernetes, les serveurs multi-utilisateurs et les environnements d’intégration continue doivent être traités en priorité.
Clients infogérés Heavy Mind
Les serveurs sous contrat d’infogérance Heavy Mind ont bénéficié d’une prise en charge immédiate. Les correctifs ont été mis en place sur l’ensemble des environnements affectés, sans action requise de votre part.
Vous n’êtes pas client infogéré ?
Nous pouvons vous accompagner sur cette vulnérabilité — et au-delà. Heavy Mind propose :
- Audit de vos serveurs Linux : inventaire des noyaux exposés, analyse de votre surface d’attaque et vérification des mitigations en place
- Application des correctifs : déploiement contrôlé des mises à jour noyau avec tests de non-régression
- Mise en place de supervision : détection proactive des futures vulnérabilités critiques sur votre parc
Parlons de vos besoins et construisons ensemble la solution adaptée.
Nous contacterSources : NVD / NIST · CERT-EU Advisory 2026-005 · Cyberveille Santé