Des chercheurs en sécurité ont révélé une vulnérabilité grave dans le noyau Linux Copier un échec (CVE-2026-31431), qui permet à un utilisateur local sans privilèges d'écrire quatre octets contrôlés dans le cache des pages d'un fichier lisible et, par conséquent, de provoquer la levée des privilèges à root. L'échec réside dans la logique du sous-système cryptographique du noyau, en particulier dans le module algif _ aead, et vient d'une modification du code en août 2017, ce qui signifie que de nombreuses distributions sont exposées depuis des années.
Ce qui distingue Copy Fail d'autres échecs est sa simplicité et sa portabilité : les chercheurs ont démontré une explosion de Python de seulement 732 octets capables d'injecter du code dans un binaire setuid (par exemple, / usr / bin / su) et de l'exécuter avec des privilèges d'administrateur. Aucune explosion à distance ou des conditions de carrière complexes sont nécessaires; la technique est basée sur la façon dont une opération AEAD via une prise AF _ ALG peut finir par écrire une page de cache à une destination que le processus contrôlé peut manipuler, puis utiliser spin () pour compléter le cache dans le fichier cible.
Du point de vue opérationnel, cela a des implications cruciales pour les serveurs et les environnements de conteneurs partagés : page cache est une structure partagée entre les processus, donc un utilisateur confiné à un conteneur ou un travailleur sur un serveur multi-utilisateurs peut potentiellement affecter les binaires dans le système hôte. Les fournisseurs de cloud et les gestionnaires d'infrastructure à plusieurs niveaux devraient considérer la vulnérabilité comme un risque élevé pour l'intégrité des environnements isolés et déployer une atténuation urgente.
Les équipes de maintenance de la distribution ont déjà publié des avis et des correctifs; le chemin correct et final d'atténuation est d'appliquer les mises à jour du noyau fournies par leur fournisseur (Amazon, Red Hat, SUSE, Debian, Ubuntu, entre autres). Vous pouvez vérifier l'entrée officielle dans la base de données de vulnérabilité pour les détails techniques et les références de patch dans NVD - CVE-2026-31431 et examiner le code affecté dans l'arborescence officielle du noyau dans - Oui. noyau.
Alors que le patch arrive ou dans des environnements où aucun redémarrage immédiat n'est possible, il existe des mesures temporaires que les équipes de sécurité devraient envisager avec prudence : évaluer si le module algif _ aead est facturable et, dans la mesure du possible, le télécharger (modprobe -r) dans des systèmes qui le permettent; restreindre l'accès à des comptes locaux peu fiables et minimiser les utilisateurs avec des permis d'exploitation de prises AF _ ALG; et, dans des environnements contenants, examiner les politiques d'isolement, les limites sismiques et les capacités qui pourraient faciliter de telles attaques. Il convient de noter que certaines mesures d'atténuation « rapides » telles que l'élimination du bit setuid des utilitaires critiques affectent la fonctionnalité et ne devraient être utilisées qu'avec un plan de rétablissement.
En plus des corrections, il est important d'étudier d'éventuels indicateurs d'engagement : vérifier l'intégrité des binaires setuid au moyen d'outils de vérification de paquets (rpm -V, debsums, etc.), examiner les journaux d'exécution et d'audit (audit) à la recherche d'exercices inhabituels sur des binaires sensibles et rechercher des changements inattendus dans / usr / bin et d'autres répertoires système. Les environnements gérés et les services cloud devraient prioriser la rotation des images et la mise à jour des nœuds de manière coordonnée pour éviter les fenêtres d'exposition.
La récurrence des échecs qui manipulent la page cache - rappelez-vous que Cache Fail vient dans le sillage de vulnérabilités précédentes comme Dirty Pipe - montre que les optimisations de performance dans le noyau peuvent introduire des vecteurs d'attaque durables. Pour les équipes de développement et les opérateurs, la leçon est double : d'une part, maintenir des cycles de stationnement rapides et des tests de régression incluant des cas de sécurité; d'autre part, renforcer les politiques de moins de privilège et de conception défensive pour minimiser l'impact des fermes locales.
Si vous gérez des systèmes Linux, prioriser l'application des bulletins de sécurité de votre distribution et programme redémarré contrôlé après la mise à jour du noyau. Gardez la surveillance sur les canaux officiels de votre fournisseur et les bases de données sur la vulnérabilité, et planifiez une vérification post-patch pour détecter tout abus antérieur. La coordination entre les équipes de sécurité, les opérations et les fournisseurs est essentielle pour contenir cette vulnérabilité qui, de par sa nature, affecte un large éventail de déploiements des postes de travail aux serveurs cloud.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...