La vulnérabilité 'copy.fail' (identifiée **CVE-2026-31431**) représente une menace grave pour les systèmes **Linux**, permettant une escalade de privilèges locale. Cela signifie qu'un attaquant ayant déjà obtenu un certain niveau d'accès à une machine, même avec des privilèges limités, peut élever ses privilèges jusqu'à devenir root. ### Détails techniques L'exploit exploite l'API crypto du noyau (**AF_ALG** sockets) en conjonction avec la fonction `splice()`. Cela permet aux attaquants d'écrire quatre octets à la fois directement dans le cache de pages d'un fichier qu'ils ne possèdent pas. La vulnérabilité est particulièrement dangereuse car elle ne modifie pas le fichier sur disque, échappant ainsi à la détection par les outils courants de surveillance d'intégrité comme **AIDE** et **Tripwire**. ### Impact généralisé La vulnérabilité affecte un large éventail de distributions **Linux**, notamment **Ubuntu**, **RHEL**, **Debian**, **SUSE**, **Amazon Linux** et **Fedora**. L'exploit fonctionne de manière cohérente sur ces distributions sans nécessiter d'offsets ou d'ajustements spécifiques. ### Implications pour l'infrastructure partagée La vulnérabilité 'copy.fail' a de sérieuses implications pour les environnements d'infrastructure partagée, tels que : * Les conteneurs sur des nœuds **Kubernetes** partagés * Les locataires sur des environnements d'hébergement partagés * Les jobs CI/CD exécutant des pull requests non fiables * Les instances **WSL2** sur des ordinateurs portables **Windows** * Les agents IA conteneurisés avec accès shell Dans ces scénarios, plusieurs utilisateurs ou processus partagent le même noyau **Linux**, les rendant vulnérables aux attaques d'escalade de privilèges. ### Atténuation Un correctif abordant la vulnérabilité a été fusionné dans le noyau principal le 1er avril. Les distributions déploient actuellement des noyaux mis à jour. En attendant que les systèmes soient corrigés, envisagez d'implémenter des profils seccomp personnalisés pour bloquer le syscall vulnérable. Les normes par défaut de sécurité des pods **Kubernetes** (Restricted) et le profil seccomp RuntimeDefault ne bloquent pas le syscall utilisé par l'exploit. ### Références [Divulgation originale de la vulnérabilité](https://jorijn.com/en/blog/copy-fail-cve-2026-31431-linux-kernel-bug-explained/) [Article de presse](https://arstechnica.com/security/2026/04/as-the-most-severe-linux-threat-in-years-surfaces-the-world-scrambles/)