édition quotidiennecurated dispatchespas de rewritediffusion à l'aubelecture longuepublication rarearchivé à viesilence, puis signal
veilletechno
security2026.05.03il y a 5 jours3 min de lecture

CVE-2026-31431 « Copy Fail » : 9 ans de faille dans le noyau Linux, root en 732 octets

Un bug de 9 ans dans algif_aead du noyau Linux (CVSS 7.8) permet à tout utilisateur local d'écrire 4 octets contrôlés en page cache et d'obtenir root via un script Python de 732 octets. PoC public, attaques actives depuis le 30 avril 2026.

#linux#kernel#lpe#cve#exploit
§

Le 30 avril 2026, Taeyang Lee, chercheur chez Theori, a divulgué une vulnérabilité de neuf ans dans le noyau Linux baptisée Copy Fail (CVE-2026-31431). La faille touche le module algif_aead, l'interface AF_ALG exposant les opérations cryptographiques matérielles aux processus utilisateur. Un exploit de démonstration — 10 lignes de Python, 732 octets — transforme n'importe quel compte non privilégié en root sur la quasi-totalité des distributions Linux déployées depuis 2017.

Origine et mécanisme

En 2017, une optimisation a été introduite dans le template cryptographique authencesn du noyau : pour réduire les copies mémoire, le noyau réutilise la mémoire source comme destination lors de certaines opérations AEAD (Authenticated Encryption with Associated Data). Cette optimisation est correcte dans la plupart des cas, mais elle ouvre un chemin d'exploitation via l'interaction entre deux interfaces système rarement combinées.

Vecteur d'attaque :

  1. Un attaquant ouvre un socket AF_ALG pour accéder aux primitives crypto noyau.
  2. Il utilise l'appel système splice() pour transférer des données entre le socket et un fichier cible quelconque accessible en lecture.
  3. L'interaction crée une écriture de 4 octets contrôlés dans le page cache du fichier cible, sans passer par les permissions d'écriture normales.
  4. En ciblant un binaire setuid (par exemple /usr/bin/su), les 4 octets suffisent à corrompre le point d'entrée du binaire pour obtenir un shell root.

L'exploit PoC écrit par Theori tient en 10 lignes de Python et 732 octets. Exploit Intelligence a confirmé des attaques actives dans la nature dès le jour de la divulgation.

Périmètre

Toutes les distributions Linux ayant intégré le module algif_aead depuis 2017 sont concernées :

  • Ubuntu 16.04 (kernel 4.15) jusqu'à Ubuntu 25.10 (Questing)
  • Debian Stretch → Bookworm
  • RHEL / CentOS / AlmaLinux / Rocky Linux depuis la version 7
  • Fedora, Arch Linux, Alpine Linux, et dérivés

Les environnements conteneurisés qui désactivent explicitement AF_ALG (via seccomp ou capabilities restreintes) sont moins exposés. Les systèmes de production cloud standard restent vulnérables si l'accès local à un conteneur ou une VM est acquis.

Correctifs disponibles

  • Ubuntu : le Security Team a publié le 30 avril une mitigation immédiate via le paquet kmod (désactivation du module algif_aead) et des mises à jour du paquet noyau. Les versions Noble (24.04) et Questing (25.10) sont prioritaires.
  • CERT-EU : advisory 2026-005 publié le 30 avril, recommandation de patch immédiat pour tous les opérateurs européens.
  • Upstream Linux : correctif soumis dans la série stable, intégration en cours pour les branches LTS (6.1, 6.6, 6.12).

La mitigation de court terme — désactivation de algif_aead si non utilisé — est applicable sans redémarrage sur la plupart des systèmes.

Contexte : découverte assistée par IA

Taeyang Lee a identifié la faille avec l'aide de Xint Code, un outil d'analyse statique IA développé par Theori. C'est l'un des premiers cas documentés d'une CVE sévère dans un composant noyau majeur découverte via analyse automatisée IA plutôt que par audit manuel ou fuzzing. Ce signal mérite attention : des vulnérabilités latentes depuis des années dans des subsystèmes peu audités pourraient être accélérées vers la surface par des outils d'analyse statique IA.

Évaluation

Le CVSS 7.8 (High) peut sembler en décalage avec la gravité réelle. La note reflète l'exigence d'un accès local préalable — l'exploitation ne se fait pas depuis le réseau. Dans les contextes de cloud multi-tenant, de CI/CD partagé ou de services hébergeant du code tiers (notebooks, sandbox d'exécution), l'accès local n'est pas une hypothèse irréaliste : c'est précisément le modèle de menace de ces environnements.

Avis Ubuntu — correctifs disponibles pour Copy Fail

CERT-EU Security Advisory 2026-005

Analyse technique Sysdig — CVE-2026-31431, root en quelques secondes

Microsoft Security Blog — impact sur les environnements cloud Linux