[gull] Attaque locale root kernel Linux / risque pour les services hébergés
Marc SCHAEFER
schaefer at alphanet.ch
Thu Apr 30 17:41:36 CEST 2026
Bonjour,
Au sujet de l'attaque Copy Fail publiée hier:
Résumé: Possibilité dans la plupart des distributions Linux d'obtenir les
droits root via une attaque locale. Impact particulièrement élevé sur la
virtualisation légère (conteneur, partageant un kernel pour les différents
conteneurs) et en cas d'exécution de code de tiers (exemple: Gitlab CI/CD).
Cause: Basé sur une erreur de manipulation de pages, ne modifie pas le
filesystem, donc non détectable par scan du fs.
Work-around simple (testé sous Debian stable et oldstable):
echo 'install algif_aead /bin/false' > /etc/modprobe.d/disable-algif-aead.conf
rmmod algif_aead
Attention, certaines distributions (Red Hat, Fedora) distribuent ce code
vulnérable compilé dans le kernel standard, pas en module. Dans ce
cas lisez la référence Bortzmeyer pour un work-around (qui nécessitera
un reboot).
Qui doit immédiatement appliquer: Très important si vous exécutez du code de
tiers (p.ex. CI/CD, conteneurs, etc) dès lors que le kernel est partagé
Références
https://www.bortzmeyer.org/copyfail.html
https://xint.io/blog/copy-fail-linux-distributions
https://security-tracker.debian.org/tracker/CVE-2026-31431
Est-ce le début d'une longue série d'attaques kernel découvertes en partie par
IA?
Bon week-end.
More information about the gull
mailing list