AIMC

Sécurité

Sécurité Linux — patcher Copy Fail

Vérifier la faille Copy Fail sur un serveur Linux et appliquer le patch kernel ou la mitigation recommandée.

2026-05-012 min lecture355 mots

Si tu administres un serveur Linux exposé, garde le kernel à jour. Certaines failles locales ne donnent pas un accès initial, mais elles transforment un accès limité en accès root.

Le 29 avril 2026, CVE-2026-31431 ("Copy Fail") a été disclosé. C'est une LPE — Local Privilege Escalation — dans le module algif_aead du kernel. CVSS 7.8/10. Affecte des kernels Linux récents et doit être vérifié via les avis de sécurité de ta distribution.

Pourquoi c'est sérieux

Deux points rendent cette CVE sérieuse :

  1. PoC public. Un exploit public existe, donc il ne faut pas traiter le sujet comme théorique.
  2. Surface kernel. Le module algif_aead n'est généralement pas chargé au boot, mais un appel AF_ALG peut le charger à la demande. Pas blacklisté = surface exposée.

Qui est concerné

  • Serveur Linux qui n'a pas reçu de patch kernel depuis la publication des correctifs
  • Machine où des utilisateurs ou services non-root peuvent exécuter du code local
  • Environnement où une compromission locale aurait un impact fort

Vérifier en 30 secondes

uname -r
  • < 6.8.0-111 sur Ubuntu/Debian (ou équivalent patché de ta distro) → vulnérable
  • ≥ 6.8.0-111 → patché, OK

Fixer en 5 minutes

apt update
apt install -y linux-image-generic linux-headers-generic
reboot

# Après reboot, vérifie :
uname -r

Adapte le paquet kernel à ta distribution et vérifie l'avis officiel correspondant.

Si tu peux pas rebooter maintenant

Mitigation temporaire — blacklister le module pour qu'aucun process ne puisse le charger :

cat <<'EOF' | sudo tee /etc/modprobe.d/cve-2026-31431.conf
blacklist algif_aead
install algif_aead /bin/false
EOF

sudo update-initramfs -u
sudo rmmod algif_aead 2>/dev/null

Puis programme le reboot pour la nuit.

Pourquoi ça compte

Une élévation locale de privilèges peut transformer un accès limité en contrôle complet de la machine.

Pour un serveur exposé, patcher rapidement après une CVE kernel notable fait partie du minimum opérationnel.

Action

Là, maintenant :

uname -r

Compare la version du kernel avec l'avis de sécurité de ta distribution. Si elle est vulnérable, patche aujourd'hui.

Sources : Ubuntu Security Notice, CERT-EU 2026-005, PoC public theori-io.