CVE-2026-31431 vulnérabilité noyau Linux Copy Fail : analyse et remédiation

La CVE-2026-31431, baptisée Copy Fail, est l'une des vulnérabilités noyau Linux les plus préoccupantes de ces dernières années. Divulguée le 29 avril 2026 par l'équipe de recherche Theori, elle permet à un utilisateur local non privilégié d'obtenir un shell root sur un système Linux standard. Sa fiabilité d'exploitation et son périmètre d'impact en font une menace concrète et immédiate pour toute organisation exploitant des systèmes Linux.

CVE-2026-31431 vulnerabilite noyau Linux : origines et périmètre

La CVE-2026-31431 est scorée 7.8 selon le CVSS et classée haute sévérité. Il s'agit d'un bug du noyau Linux introduit en août 2017 lors d'une optimisation de performance dans le sous-système cryptographique. La vulnérabilité affecte toutes les versions du noyau Linux construites entre 2017 et la publication du correctif. Les distributions confirmées comme impactées incluent Ubuntu, Amazon Linux, RHEL, SUSE et AlmaLinux.

Analyse technique de la CVE-2026-31431 vulnerabilite noyau Linux

En combinant l'API AF_ALG (interface cryptographique du noyau) et la fonction splice(), un attaquant local peut écrire 4 octets contrôlés dans le page cache de n'importe quel fichier lisible sur le système, y compris des binaires setuid tels que /usr/bin/su.

Ce qui rend cette vulnérabilité particulièrement dangereuse est sa méthode d'exploitation : l'exploit altère le binaire cible en mémoire plutôt que sur disque. L'attaquant obtient un shell root réel à l'exécution du binaire, tout en contournant les outils de contrôle d'intégrité basés sur les fichiers (AIDE, Tripwire, etc.). Les solutions de détection basées sur les signatures de fichiers ne détectent pas cette attaque puisque le fichier sur disque reste intact.

Un proof-of-concept (PoC) public est disponible à l'URL https://copy.fail/exp, ce qui abaisse considérablement la barrière d'entrée pour les attaquants et rend la remédiation urgente.

Correctif disponible pour la CVE-2026-31431 vulnerabilite noyau Linux

Le correctif upstream (commit a664bf3d603d) a été fusionné dans le noyau principal. Les distributions déploient progressivement leurs mises à jour. La situation évolue rapidement, distribution par distribution. Il est recommandé de surveiller les canaux de sécurité de votre distribution (Ubuntu Security Notices, Red Hat Errata, SUSE Security Advisories) pour connaître la disponibilité du patch sur votre système.

Recommandations pour remédier à la CVE-2026-31431 vulnerabilite noyau Linux

• Appliquer immédiatement les mises à jour noyau disponibles sur votre distribution. C'est la seule remédiation définitive contre la CVE-2026-31431.

• En attendant le patch, désactiver le module vulnérable via la commande : echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf. Cette mesure de contournement désactive l'interface AF_ALG utilisée dans l'exploit.

• Surveiller les requêtes curl vers https://copy.fail/exp dans vos journaux réseau. Cette URL publique héberge le PoC et sa présence dans les logs est un signal d'alerte fort.

• Vérifier les entrées auth.log contenant des enregistrements su sans nom d'utilisateur appelant. Ce pattern est un signal possible d'exploitation post-compromission de la CVE-2026-31431.

Contexte : pourquoi la CVE-2026-31431 est une vulnerabilite noyau Linux critique

Les vulnérabilités d'élévation de privilèges locales sur Linux sont particulièrement redoutées dans les environnements où l'accès initial à un compte non privilégié est facile : serveurs web compromis, containers mal isolés, postes de développeurs. Une fois un pied dans le système, la CVE-2026-31431 offre un chemin direct vers root, rendant toute compromission initiale immédiatement critique.

Sources : The Hacker News, AlmaLinux Blog, Theori Research.