Home  >  Informatique

Copy Fail (CVE-2026-31431) : Comment patcher cette faille critique sur Ubuntu et AlmaLinux (Cheat Sheet PDF)

tux cve copy fail
🚨 ALERTE DE SÉCURITÉ CRITIQUE : La vulnérabilité Copy Fail permet une escalade de privilèges locale (LPE) quasi instantanée. Il est impératif d’appliquer les correctifs ou les mesures d’atténuation sur vos serveurs de production immédiatement.

L’essentiel en 60 secondes

Pas le temps de tout lire ?

« Découvrez comment sécuriser vos serveurs Linux contre la faille Copy Fail (CVE-2026-31431). »

Regardez notre synthèse visuelle pour maîtriser les concepts clés instantanément.

Qu’est-ce que la faille « Copy Fail » (CVE-2026-31431) ?

Révélée fin avril 2026, Copy Fail (CVE-2026-31431) est une vulnérabilité de type élévation de privilèges locale affectant le noyau Linux. Présente dans la majorité des distributions majeures depuis 2017, cette faille tire parti d’un défaut logique dans le sous-système cryptographique du noyau (le module algif_aead de l’API AF_ALG).

L’Impact : Un attaquant disposant d’un simple accès utilisateur peut déclencher une écriture déterministe de 4 octets dans le page cache (la mémoire RAM) de n’importe quel fichier lisible. En ciblant un binaire setuid critique (comme /usr/bin/su), l’attaquant peut s’octroyer les droits root en quelques secondes.

Furtivité absolue : L’écriture malveillante ne se produit qu’en mémoire vive. Le fichier sur le disque dur n’est jamais altéré. Conséquence directe : les outils d’intégrité de fichiers standard (comme Tripwire ou AIDE) basés sur des checksums ne détecteront aucune modification. De plus, comme le page cache est partagé entre l’hôte et les conteneurs, cette faille autorise les évasions de conteneurs (Container Escape).

🛡️ Cheat Sheet Commandes de Sécurité (PDF)

Gagnez du temps lors de vos interventions sur vos flottes de serveurs. Téléchargez notre antisèche PDF listant toutes les commandes d’atténuation et de vérification pour CentOS, AlmaLinux, Ubuntu et Debian.

📄 Télécharger la Cheat Sheet Sécurité (PDF)

Comment patcher Copy Fail sur Ubuntu

Sur Ubuntu (24.04 LTS, 22.04 LTS et 20.04 LTS), Canonical a réagi rapidement en publiant une atténuation d’urgence via une mise à jour du paquet kmod (avis USN-8226-1 et USN-8226-2). Cette mise à jour bloque automatiquement le chargement du module vulnérable.

Procédure de mise à jour Ubuntu :

sudo apt update
sudo apt upgrade
# Un redémarrage est fortement recommandé pour vider les caches mémoire
sudo reboot

Comment patcher Copy Fail sur AlmaLinux

Du côté des systèmes Enterprise Linux, AlmaLinux a été le premier à déployer des noyaux corrigés (versions 8, 9 et 10) dès le 1er mai 2026, devançant même RHEL en amont.

Procédure de mise à jour AlmaLinux :

sudo dnf clean metadata
sudo dnf upgrade
# Le redémarrage est indispensable pour charger le nouveau noyau
sudo reboot

Note : Assurez-vous d’être au minimum sur la version de noyau 4.18.0-553.121.1.el8_10 (AlmaLinux 8), 5.14.0-611.49.2.el9_7 (AlmaLinux 9) ou 6.12.0-124.52.2.el10_1 (AlmaLinux 10).

Mesures d’Atténuation (Mitigation) d’urgence

Si vous ne pouvez pas mettre à jour votre noyau ou redémarrer immédiatement vos serveurs de production, vous devez appliquer l’atténuation temporaire en désactivant (blacklistant) le module algif_aead.

# 1. Blacklister le module
echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif.conf

# 2. Décharger le module s'il est déjà en mémoire
sudo rmmod algif_aead

# 3. PURGER LE PAGE CACHE (CRITIQUE !)
# Si le système a déjà été attaqué, la corruption persiste en RAM.
sudo sysctl -w vm.drop_caches=3

Pour vérifier que le module n’est plus actif, exécutez lsmod | grep algif_aead. Si la commande ne renvoie rien, la surface d’attaque immédiate est refermée.

Share

Related Posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Post comment