La vulnérabilité a été découverte par **Theori**, une société de sécurité offensive, à l'aide de sa plateforme de pentesting basée sur l'IA, **Xint Code**, après avoir analysé le sous-système cryptographique de Linux pendant environ une heure. **Theori** a signalé la découverte à l'équipe de sécurité du noyau Linux le 23 mars, et des correctifs ont été rendus disponibles en une semaine. Les détails techniques et un exploit de preuve de concept ont émergé publiquement peu après. Bien que la société de cybersécurité ait développé et testé un exploit Python "100% fiable" pour quatre distributions Linux (**Ubuntu 24.04 LTS**, **Amazon Linux 2023**, **RHEL 10.1** et **SUSE 16**), les chercheurs affirment que le script de 732 octets permet d'obtenir les privilèges root sur toutes les distributions Linux publiées depuis 2017. ### Cause profonde de Copy Fail Dans un [rapport détaillé](https://xint.io/blog/copy-fail-linux-distributions), les chercheurs expliquent que le problème Copy Fail (**CVE-2026-31431**) "est un bug logique dans le template cryptographique authencesn du noyau Linux" qui permet à un utilisateur authentifié d'effectuer de manière fiable une "écriture de 4 octets dans le cache de page de tout fichier lisible sur le système". En combinant l'interface basée sur les sockets 'AF_ALG', qui donne accès aux fonctions cryptographiques du noyau Linux depuis l'espace utilisateur, et l'appel système `splice()`, un utilisateur non privilégié peut effectuer une écriture contrôlée de 4 octets dans le cache de page d'un fichier, au lieu d'un tampon normal. Si ces 4 octets atteignent un binaire setuid-root, ils peuvent altérer son comportement lors de son exécution, accordant ainsi à l'attaquant des privilèges root. La faille a été introduite en 2017 lorsque l'équipe du noyau Linux a ajouté une optimisation "en place" au chemin cryptographique, ce qui signifie qu'elle a commencé à réutiliser le même tampon au lieu de maintenir les entrées et les sorties strictement séparées. ### Impact et correctifs La preuve de concept (PoC) de **Theori** est un exploit de 732 octets constamment efficace qui accorde un accès root à toutes les distributions Linux majeures fonctionnant sur une version vulnérable du noyau Linux, selon les chercheurs. Ils ont démontré et confirmé l'exploit [Copy Fail](https://copy.fail/) sur **Ubuntu 24.04**, **Amazon Linux 2023**, **RHEL 10.1** et **SUSE 16** :  Copy Fail est caractérisé comme étant plus proche de la vulnérabilité '[Dirty Pipe](https://www.bleepingcomputer.com/news/security/new-linux-bug-gives-root-on-all-major-distros-exploit-released/)' que les failles d'escalade de privilèges locaux typiques, est plus fiable (succès revendiqué de 100%) et est plus largement exploitable que la plupart des bugs de cette catégorie. Même comparé à Dirty Pipe, Copy Fail est jugé plus pratique. « Copy Fail est plus portable. Un script, toutes les distributions, pas d'offsets. Dirty Pipe nécessitait un noyau ≥ 5.8 avec des correctifs spécifiques ; Copy Fail couvre toute la fenêtre 2017–2026 », notent les chercheurs de **Theori**. [CVE-2026-31431](https://nvd.nist.gov/vuln/detail/CVE-2026-31431) a été corrigé en amont le 1er avril en annulant le comportement cryptographique "en place" problématique introduit dans la version 4.14 du noyau Linux en 2017. Les correctifs ont été rendus disponibles dans les versions 6.18.22, 6.19.12 et 7.0. Selon les chercheurs, les distributions Linux majeures poussent déjà le correctif via des mises à jour du noyau. Cependant, Will Dormann, analyste principal des vulnérabilités chez Tharros, note qu'il n'y a "pas de mises à jour officielles pour CVE-2026-31431". "Fedora 42 et versions ultérieures ont des mises à jour, mais aucun avis officiel ou reconnaissance de CVE-2026-31431", [déclare Dormann](http://infosec.exchange/@wdormann/116493725294723695). En tant que mesure d'atténuation temporaire pour ceux qui n'ont pas encore reçu les mises à jour, les chercheurs recommandent de désactiver l'interface cryptographique vulnérable, ce qui bloquerait la création de sockets AF_ALG, ou de désactiver le module algif_aead : bash echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf rmmod algif_aead Les chercheurs de **Theori** suggèrent de traiter les hôtes Linux multi-locataires, les clusters Kubernetes/conteneurs, les fermes d'exécution/de build CI et les SaaS cloud exécutant du code utilisateur comme une priorité dans l'effort de patching. ## [99% de ce que Mythos a trouvé n'est toujours pas corrigé.](https://hubs.li/Q04crVgD0) L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du renderer et du système d'exploitation. Une vague de nouveaux exploits arrive. Lors du Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la chaîne de remédiation. [Réservez votre place](https://hubs.li/Q04crVgD0)