Des chercheurs en cybersécurité ont révélé les détails d'une faille d'escalade de privilèges locale (LPE) sous Linux qui pourrait permettre à un utilisateur local non privilégié d'obtenir les privilèges root. La vulnérabilité de haute gravité suivie sous la référence **CVE-2026-31431** (score CVSS : 7.8) a été nommée **Copy Fail** par **Xint.io** et **Theori**. « Un utilisateur local non privilégié peut écrire quatre octets contrôlés dans le cache de pages de tout fichier lisible sur un système Linux, et l'utiliser pour obtenir un accès root », a déclaré l'équipe de recherche sur les vulnérabilités de Xint.io et Theori [ici](https://xint.io/blog/copy-fail-linux-distributions). ## Analyse de la cause racine Fondamentalement, la vulnérabilité découle d'une faille logique dans le sous-système cryptographique du noyau Linux, plus précisément dans le module `algif_aead`. Le problème a été introduit dans un [commit de code source](https://github.com/torvalds/linux/commit/72548b093ee3) effectué en août 2017. L'exploitation réussie de cette faille pourrait permettre à un simple script Python de 732 octets de modifier un binaire setuid et d'obtenir un accès root sur pratiquement toutes les distributions Linux livrées depuis 2017, y compris **Amazon Linux**, **RHEL**, **SUSE** et **Ubuntu**. L'exploit Python implique quatre étapes : * Ouvrir un socket AF_ALG et se lier à authencesn(hmac(sha256),cbc(aes)) * Construire le payload shellcode * Déclencher l'opération d'écriture dans la copie mise en cache par le noyau de "/usr/bin/su" * Appeler execve("/usr/bin/su") pour charger le shellcode injecté et l'exécuter en tant que root Bien que la vulnérabilité ne soit pas exploitable à distance isolément, un utilisateur local non privilégié peut obtenir un accès root simplement en corrompant le cache de pages d'un binaire setuid. La même primitive a également des impacts inter-conteneurs, car le cache de pages est partagé entre tous les processus d'un système.  ## Réponse des fournisseurs En réponse à la divulgation, les distributions Linux ont publié leurs propres avis : * [AlmaLinux](https://almalinux.org/blog/2026-05-01-cve-2026-31431-copy-fail/) * [Amazon Linux](https://explore.alas.aws.amazon.com/CVE-2026-31431.html) * [Arch Linux](https://security.archlinux.org/CVE-2026-31431) * [CloudLinux](https://blog.cloudlinux.com/cve-2026-31431-copy-fail-mitigation-and-patches) * [Debian](https://security-tracker.debian.org/tracker/CVE-2026-31431) * [Gentoo](https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-31431) * [Red Hat Enterprise Linux](https://access.redhat.com/security/cve/cve-2026-31431) * [SUSE](https://www.suse.com/security/cve/CVE-2026-31431.html) * [Ubuntu](https://ubuntu.com/security/CVE-2026-31431) ## Vulnérabilités similaires Copy Fail a des échos dans [Dirty Pipe](https://thehackernews.com/2022/03/researchers-warn-of-linux-kernel-dirty.html) (CVE-2022-0847), une autre vulnérabilité LPE du noyau Linux qui pouvait permettre aux utilisateurs non privilégiés d'insérer des données dans le cache de pages de fichiers en lecture seule et, finalement, d'écraser des fichiers sensibles sur le système pour obtenir l'exécution de code. **David Brumley** de **Bugcrowd** [a déclaré](https://www.bugcrowd.com/blog/what-we-know-about-copy-fail-cve-2026-31431/) : « Copy Fail est de la même classe de primitive, dans un sous-système différent. L'optimisation in-place de 2017 dans `algif_aead` permet à une page du cache de pages de se retrouver dans la liste de destination inscriptible du noyau pour une opération AEAD soumise via un socket AF_ALG. Un processus non privilégié peut alors utiliser splice() dans ce socket et effectuer une petite écriture ciblée dans le cache de pages d'un fichier qu'il ne possède pas. » Ce qui rend la vulnérabilité dangereuse, c'est qu'elle peut être déclenchée de manière fiable et ne nécessite aucune condition de concurrence ni décalage de noyau. De plus, le même exploit fonctionne sur toutes les distributions. « Cette vulnérabilité est unique car elle possède quatre propriétés qui n'apparaissent presque jamais ensemble : elle est portable, minuscule, furtive et inter-conteneurs », a déclaré un porte-parole de Xint.io à The Hacker News dans un communiqué. « Elle permet à tout compte utilisateur, quel que soit son niveau, d'augmenter ses privilèges pour obtenir un accès administrateur complet. Elle leur permet également de contourner le sandboxing et fonctionne sur toutes les versions et distributions Linux. »