Nouvelle faille Linux «Copy Fail» donne le root aux hackers sur les principales distros

Nouvelle faille Linux «Copy Fail» donne le root aux hackers sur les principales distros

Un exploit public permet d’exploiter une vulnérabilité d’escalade de privilèges locaux nommée Copy Fail, répertoriée sous CVE-2026-31431. Cette faille touche les noyaux Linux publiés depuis 2017 et offre à un attaquant local non privilégié un accès root complet.

L’entreprise de sécurité offensive Theori a identifié le problème grâce à sa plateforme de pentesting assistée par IA, Xint Code, après une analyse d’une heure du sous-système crypto du noyau. Le rapport a été transmis à l’équipe de sécurité du noyau Linux le 23 mars, avec des correctifs disponibles sous une semaine. Les détails techniques et un proof-of-concept ont été révélés publiquement la veille.

Cause technique de Copy Fail

Les experts décrivent Copy Fail comme un bug logique dans le modèle cryptographique authenc du noyau Linux. Il autorise un utilisateur authentifié à effectuer une écriture contrôlée de 4 octets dans le cache de pages de n’importe quel fichier lisible.

Cette manipulation repose sur l’interface socket AF_ALG, qui expose les fonctions crypto du noyau depuis l’espace utilisateur, combinée à l’appel système splice(). Au lieu d’un tampon standard, l’attaquant modifie le cache de pages d’un fichier. Si ces octets touchent un binaire setuid-root, son exécution confère des privilèges root à l’attaquant.

La faille provient d’une optimisation « sur place » ajoutée en 2017 dans la version 4.14 du noyau Linux, qui réutilise le même tampon pour entrée et sortie au lieu de les séparer.

Portée et correctifs

Le proof-of-concept de Theori, un script Python de 732 octets fiable à 100 %, fonctionne sur toutes les distributions Linux majeures depuis 2017. Les tests ont validé son efficacité sur Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 et SUSE 16.

Getting root shell on four Linux distributions

Obtention d’un shell root sur quatre distributions Linux
Source : Xint Code

 

Comparée à la vulnérabilité Dirty Pipe, Copy Fail se montre plus fiable et portable, sans besoin d’offsets spécifiques ni de versions kernel précises. Elle couvre la période entière de 2017 à 2026.

Le correctif upstream, daté du 1er avril, annule le comportement crypto « sur place » problématique. Il apparaît dans les versions 6.18.22, 6.19.12 et 7.0 du noyau. Les distributions principales déploient déjà les mises à jour kernel, bien que certaines, comme Fedora 42 et supérieures, n’aient pas encore d’avis officiel.

En attendant les patches, les chercheurs préconisent de désactiver l’interface crypto vulnérable en bloquant la création de sockets AF_ALG ou en chargeant le module algif_aead :

echo « install algif_aead /bin/false » > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead

Les environnements multi-utilisateurs, clusters Kubernetes, runners CI et services cloud exécutant du code utilisateur méritent une attention prioritaire pour les mises à jour.