Une faille logique dans le sous-système cryptographique du noyau Linux permet à des utilisateurs locaux non privilégiés d’élever leurs droits au niveau racine. Les principales distributions de Desenvolvedores ont déjà commencé à distribuer des correctifs pour corriger le CVE-2026-31431, connu sous le nom de Copy Fail.
Le problème réside dans le modèle d’authentification, utilisé dans les opérations de chiffrement authentifiées. Ele permet d’écrire quatre octets contrôlés dans le cache de pages de n’importe quel fichier lisible. Le changement Essa affecte directement le chargement des binaires par le noyau.
Techniciens d’échec d’authentification Detalhes
Le bug est issu d’un changement implémenté en 2017 dans le module algif_aead. La modification Essa a permis aux pages de cache de pages d’être disponibles pour l’écriture dans certains scénarios de liste de dispersion. Diferente Contrairement aux autres vulnérabilités classiques, Copy Fail ne nécessite pas de conditions de concurrence pour fonctionner.
Pesquisadores de Theori a identifié le problème avec la prise en charge d’outils d’analyse basés sur l’IA. La preuve de concept est un script Python avec seulement 10 lignes et 732 octets. Ele modifie les binaires setuid et exécute du code avec des privilèges élevés sur la plupart des distributions publiées depuis 2017.
- CVE-2026-31431 a reçu un score de 7,8/10, classé comme étant de gravité élevée.
- Exploração fonctionne dans des environnements multi-locataires et des conteneurs avec noyau partagé
- Le cache partagé Page sur l’hôte permet une évasion potentielle des conteneurs Kubernetes
- Não est exploitable à distance de manière isolée, mais amplifie d’autres vecteurs
L’exploit modifie le binaire en mémoire sans déclencher de mécanismes de détection basés sur les événements du système de fichiers tels que inotify. Isso rend la détection plus complexe en temps réel.
https://twitter.com/DarkWebInformer/status/2049579219190165658?ref_src=twsrc%5Etfw
Impacto dans les environnements de production et de conteneurs
Les Sistemas qui exécutent du code non fiable, tel que des exécuteurs CI/CD ou des serveurs partagés, sont plus exposés. Le cache de pages partagées au niveau de l’hôte présente un risque concret d’évasion dans les environnements conteneurisés.
Distribuições comme Debian, Ubuntu et SUSE ont déjà mis à disposition des noyaux mis à jour. Red Hat a changé sa position de report initiale et propose désormais le patch en synchronisation avec l’écosystème. Les fournisseurs de Outros, dont Fedora, ont également confirmé le correctif.
Administradores qui gère plusieurs locataires ou des charges de travail tierces doit donner la priorité à la mise à niveau. Le bug a gagné en visibilité rapidement après une divulgation coordonnée.
Como atténue jusqu’à ce que le correctif complet soit appliqué
Une mesure temporaire consiste à désactiver le module algif_aead. Isso empêche le chargement du composant vulnérable dans la plupart des scénarios.
- Crie le fichier /etc/modprobe.d/disable-algif.conf avec le contenu : install algif_aead /bin/false
- Execute rmmod algif_aead pour supprimer le module s’il est chargé
La configuration Essa peut affecter les applications qui dépendent explicitement du module de chiffrement. Testes dans les environnements de test est recommandé avant l’application en production. Les Atualizações officiels restent la solution définitive.
Atualizações publié par les distributions
Le déploiement des correctifs s’effectue de manière coordonnée entre les principaux responsables. Debian et Ubuntu ont publié de nouveaux noyaux avec le retour requis au comportement sur place d’algif_aead. SUSE a emboîté le pas avec des packages mis à jour.
Red Hat a aligné ses orientations après un examen interne. La communauté Linux suit le processus sur les listes de discussion et les forums techniques. Les administrateurs Muitos ont déjà démarré l’application sur les serveurs critiques.
La récente augmentation des rapports de vulnérabilité est directement liée à l’utilisation d’outils d’IA dans la recherche de bogues. Programas, comme Internet Bug Bounty, a enregistré un volume élevé de candidatures, ce qui a conduit à des ajustements temporaires des processus d’attribution.
Quels changements pour les administrateurs système Linux
Cette découverte renforce la nécessité de maintenir les noyaux à jour, notamment sur les infrastructures partagées. Sécurité Equipes évalue désormais plus précisément les modules cryptographiques et les composants du noyau chargés par défaut.
Copy Fail ressemble à des failles historiques telles que Dirty Cow et Dirty Pipe, mais se distingue par sa simplicité d’exploration et son étendue. Public PoC facilite les tests, mais accélère également les abus potentiels dans les environnements non corrigés.
Pesquisadores estime que la plupart des installations actives depuis 2017 nécessitent une attention immédiate. La coordination entre les fournisseurs a limité la période d’exposition après une divulgation responsable.