Faille Copy Fail : élévation root dans le noyau Linux Copy Fail ouvre une porte à une élévation locale de privilèges dans le noyau Linux et pousse les distributions à patcher rapidement. La faille Copy Fail noyau Linux permet à un compte utilisateur local d’obtenir les droits root.
La faille Copy Fail noyau Linux permet à un compte utilisateur local d’obtenir les droits root. Détectée en 2026 et classée élevée (CVE-2026-31431), elle touche les distributions majeures jusqu’au déploiement du patch. Cette vulnérabilité est née d’une optimisation introduite en 2017 dans le module cryptographique authencesn et se révèle exploitable sans accès réseau ni matériel additionnel.
Copy Fail : comment elle fonctionne et où elle se cache
Selon Xint.io et Taeyang Lee, la faille exploite l’interface socket AF_ALG et l’appel système splice() pour manipuler le page cache du noyau. En liant un socket à un modèle AEAD et en chiffrant/déchiffrant des données arbitraires, un utilisateur non privilégié peut écrire quatre octets contrôlés dans le page cache d’un fichier lisible, ce qui peut être utilisé pour obtenir les privilèges root. Le changement se fait en mémoire, et non sur le stockage, permettant d’escalader les privilèges via le binaire /usr/bin/su.
Les chercheurs soulignent qu’un script Python très court peut, en ciblant le page cache, accéder au binaire évoqué et permettre une montée en puissance sans nécessiter d’installation préalable.
Quelles distributions et quelles mesures
Les tests ont montré l’existence de la faille sur Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 et SUSE 16. Les autres distributions utilisant des noyaux affectés seraient potentiellement vulnérables, notamment Debian, Arch, Fedora et les variantes dérivées. Un patch a été proposé et accepté, supprimant une optimisation des opérations AEAD ajoutée en 2017. Le commit a664bf3d603d est au cœur du correctif.
La mise à jour du noyau est en cours dans la plupart des distributions majeures, avec Debian, Ubuntu et d’autres qui publient déjà le correctif. Red Hat et SUSE poursuivent le déploiement dans leurs versions associées.
Contexte et limites
Cette vulnérabilité rappelle les risques liés au cache du noyau et à l’intégration cryptographique. Bien que le vecteur soit local, l’impact peut être significatif dans les environnements multi-utilisateurs et les clusters de conteneurs (Kubernetes, Docker, etc.). À ce stade, l’exploitation requiert un compte utilisateur et l’accès à un système affecté, mais les auteurs estiment que le correctif rendra les systèmes rapidement plus sûrs après déploiement.
- Point clé : vulnérabilité locale nécessitant un compte utilisateur.
- Impact potentiel : accès non autorisé aux données d’autres utilisateurs sur des systèmes partagés.
Pour terminer
Le correctif est disponible et doit être appliqué rapidement. Vérifiez que votre distribution intègre le commit a664bf3d603d et les patches associés, et déployez les mises à jour du noyau dès que possible pour limiter l’exposition dans les environnements partagés.
