L’Agence de cybersécurité et de sécurité des infrastructures (CISA) alerte sur l’exploitation en conditions réelles de la vulnérabilité de sécurité « Copy Fail » affectant Linux, seulement un jour après sa révélation par les chercheurs de Theori accompagnée d’un code d’exploitation de preuve de concept.
Identifiée sous le numéro CVE-2026-31431, cette faille se situe dans l’interface d’algorithme cryptographique algif_aead du noyau Linux. Elle autorise les utilisateurs locaux non privilégiés à obtenir des privilèges root sur les systèmes non corrigés en inscrivant quatre octets contrôlés dans le cache de pages d’un fichier lisible.
Les experts de Theori ont publié jeudi un exploit en Python présenté comme fiable à cent pour cent. Ce script permet d’accéder à un shell root sur Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 et SUSE 16.
Les chercheurs précisent que le même code fonctionne sans modification sur toute distribution Linux équipée d’un noyau vulnérable depuis 2017.
Les principales distributions Linux déploient déjà les correctifs via des mises à jour du noyau. Vendredi, la CISA a inscrit cette vulnérabilité dans son catalogue des vulnerabilités exploitées connues (KEV Catalog). Elle exige des agences fédérales civiles exécutives américaines (FCEB) un correctif sur leurs terminaux et serveurs Linux d’ici le 15 mai, conformément à la Directive opérationnelle contraignante 22-01 (BOD 22-01).
La CISA insiste sur les dangers posés par ce type de faille pour les infrastructures fédérales et recommande à toutes les équipes de sécurité d’appliquer les patches en priorité.
Début du mois dernier, les distributions Linux avaient corrigé une autre élévation de privilèges critiques, CVE-2026-41651 surnommée Pack2TheRoot, présente depuis plus de dix ans dans le démon PackageKit.