[gull] Attaque locale root kernel Linux / risque pour les services hébergés
Frederic Dumas
f.dumas at ellis.siteparc.fr
Thu Apr 30 19:46:33 CEST 2026
Bonjour Marc,
merci pour ton info. On lit aussi que saisir
blacklist algif_aead
dans un fichier de conf pour modprobe serait insuffisant pour interdire à l'attaquant de déclencher le chargement de ce module. Pourquoi la déclaration explicite d'un installeur "/bin/false" pour charger ce module est la seule bonne façon de faire échouer son chargement ?
Autre question concernant un container LXC. Quelle arborescence voit alors un attaquant qui a réussi à obtenir le privilège root depuis l'intérieur du container ? Il se retrouve instantanément dans le répertoire /root de l'hôte ? Ou bien un pwd lui montre sa position réelle dans l'arborescence ? J'ai du mal a visualiser. L'idée c'est que le container (namespaces, control groups) s'applique à l'utilisateur "root" dépendant du container, et non pas au root de l'hôte ? Les mécanismes de Docker offrent-t-ils une autre protection de ce point de vue ?
--
Frédéric Dumas
f.dumas at ellis.siteparc.fr
> Le 30 avr. 2026 à 17:41, Marc SCHAEFER via gull <gull at forum.linux-gull.ch> a écrit :
>
> Bonjour,
>
> Au sujet de l'attaque Copy Fail publiée hier:
>
> Résumé: Possibilité dans la plupart des distributions Linux d'obtenir les
> droits root via une attaque locale. Impact particulièrement élevé sur la
> virtualisation légère (conteneur, partageant un kernel pour les différents
> conteneurs) et en cas d'exécution de code de tiers (exemple: Gitlab CI/CD).
>
> Cause: Basé sur une erreur de manipulation de pages, ne modifie pas le
> filesystem, donc non détectable par scan du fs.
>
> Work-around simple (testé sous Debian stable et oldstable):
> echo 'install algif_aead /bin/false' > /etc/modprobe.d/disable-algif-aead.conf
> rmmod algif_aead
>
> Attention, certaines distributions (Red Hat, Fedora) distribuent ce code
> vulnérable compilé dans le kernel standard, pas en module. Dans ce
> cas lisez la référence Bortzmeyer pour un work-around (qui nécessitera
> un reboot).
>
> Qui doit immédiatement appliquer: Très important si vous exécutez du code de
> tiers (p.ex. CI/CD, conteneurs, etc) dès lors que le kernel est partagé
>
> Références
> https://www.bortzmeyer.org/copyfail.html
> https://xint.io/blog/copy-fail-linux-distributions
> https://security-tracker.debian.org/tracker/CVE-2026-31431
>
> Est-ce le début d'une longue série d'attaques kernel découvertes en partie par
> IA?
>
> Bon week-end.
More information about the gull
mailing list