Alerte Mist : la vulnérabilité « Linux Copy Fail » est extrêmement facile à exploiter, et il est recommandé de mettre à niveau le noyau le plus rapidement possible

Selon le directeur de la sécurité de l’information 23pds de SlowMist, publié sur X le 30 avril, une vulnérabilité de type logique nommée « Copy Fail » (CVE-2026-31431) a été découverte dans les systèmes Linux. Elle est extrêmement exploitable et SlowMist recommande aux utilisateurs de mettre rapidement à niveau le noyau.

Informations de base sur la vulnérabilité et périmètre affecté

D’après le rapport technique publié le 29 avril par l’équipe de recherche Xint Code, la CVE-2026-31431 est une vulnérabilité de logique dans le modèle de chiffrement et d’authentification (AEAD) du noyau Linux, au sein de algif_aead.c. Elle exploite une chaîne d’appels via AF_ALG + la fonction splice(), permettant à des utilisateurs locaux non privilégiés d’effectuer des écritures contrôlées déterministes de 4 octets dans le cache des pages d’un fichier arbitrairement lisible du système, puis d’obtenir des privilèges root en compromettant des binaires setuid.

D’après le rapport Xint Code, les distributions et versions de noyau affectées testées et confirmées incluent :

Ubuntu 24.04 LTS : noyau 6.17.0-1007-aws

Amazon Linux 2023 : noyau 6.18.8-9.213.amzn2023

RHEL 10.1 : noyau 6.12.0-124.45.1.el10_1

SUSE 16 : noyau 6.12.0-160000.9-default

D’après le rapport Xint Code, la cause racine de cette vulnérabilité réside dans l’optimisation AEAD in-place introduite dans algif_aead.c en 2017 (commit 72548b093ee3). Cela conduit à placer les pages du cache issues de splice() dans une liste dispersée inscriptible, qui, combinée aux opérations d’écriture temporaire de l’encapsuleur AEAD authenticsn, constitue un chemin d’exploitation exploitable.

Calendrier de divulgation coordonnée et mesures de correction

D’après le calendrier divulgué par Xint Code le 29 avril, la CVE-2026-31431 a été signalée le 23 mars 2026 à l’équipe de sécurité du noyau Linux. Le correctif (a664bf3d603d) a été validé le 25 mars, soumis au noyau principal le 1er avril, la CVE a été attribuée officiellement le 22 avril, puis la divulgation publique a eu lieu le 29 avril.

D’après le rapport Xint Code, les mesures de correction incluent : la mise à jour des paquets de noyau des distributions (les principales distributions devraient publier ce correctif via les mises à jour normales du noyau). Pour une atténuation immédiate, il est possible de bloquer la création de sockets AF_ALG via seccomp, ou d’exécuter la commande suivante pour inscrire le module algif_aead sur la liste noire : echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf.

D’après le rapport Xint Code, cette vulnérabilité affecte également des scénarios au-delà des limites de conteneurs, car le cache des pages est partagé par l’hôte. Les impacts liés à une évasion de conteneur Kubernetes seront divulgués dans la deuxième partie.

Questions fréquentes

Quel est le périmètre d’impact de la CVE-2026-31431 ?

D’après le rapport Xint Code du 29 avril et l’alerte de SlowMist 23pds du 30 avril, la CVE-2026-31431 affecte presque toutes les principales distributions Linux publiées depuis 2017, notamment Ubuntu, Amazon Linux, RHEL et SUSE. Un script Python de 732 octets peut obtenir des privilèges root sans nécessiter de privilèges.

Quelle est la méthode d’atténuation temporaire pour cette vulnérabilité ?

D’après le rapport Xint Code du 29 avril, il est possible de bloquer la création de sockets AF_ALG via seccomp, ou d’exécuter echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf pour inscrire le module algif_aead sur la liste noire afin de l’atténuer immédiatement.

Quand le correctif de la CVE-2026-31431 a-t-il été publié ?

D’après le calendrier divulgué par Xint Code le 29 avril, le correctif (a664bf3d603d) a été soumis au noyau Linux principal le 1er avril 2026. Les principales distributions devraient publier ce correctif via les mises à jour normales des paquets de noyau.