Bonjour à tous,

Elle se nomme copy fail et elle est présente dans le kernel de la plupart des distributions.

Copy Fail, c'est le nom de la nouvelle faille de sécurité critique découverte sur Linux et qui permet d'obtenir un accès root sur la grande majorité des distributions Linux publiées depuis 2017. Rien que ça. Voici l'essentiel à savoir sur cette vulnérabilité.

La nouvelle faille de sécurité Copy Fail, associée à la référence CVE-2026-31431, est un bug logique dans le noyau Linux. Il a été introduit en 2017, lorsqu'un développeur a intégré une optimisation à un fichier nommé algif_aead.c. Le problème, c'est qu'un simple code d'exploitation de 732 octets codé en Python permet d'obtenir un accès root sur Linux.

Cette faille de sécurité, qui au passage a été découverte avec l'assistance de l'IA par l'outil Xint Code, permet donc une élévation de privilèges en local. Elle se situe dans le sous-système cryptographique du noyau Linux, en particulier dans authencesn. En couplant l'utilisation de l'API AF_ALG et la fonction splice(), un attaquant non privilégié peut exploiter cette vulnérabilité. Résultat : il peut écrire 4 octets de données directement dans le page cache de n'importe quel fichier présent sur le système, y compris /usr/bin/su. C'est suffisant pour lancer un Terminal en tant que root et y avoir un accès.

https://www.it-connect.fr/copy-fail-cve-2026-31431-linux-access-root-vulnerabilite/

(A l'attention de la modération, j'ai posté dans le forum Linux plutôt que Sécurité mais vous pouvez déplacer le sujet, merci).

D'après les infos de https://blog.toolslib.net/2026/04/30/cve-2026-31431-copy-fail-what-you-need-to-know/ une mise à jour du noyau ou encore d'autres solutions comme la désactivation du module défaillant algif_aead avec ces 2 lignes pour le terminal :

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf

rmmod algif_aead 2>/dev/null || true

Salut

comme d'hab avec Linux, ça n'a pas traîné. La faille a été corrigée sous Debian Trixie hier, ou aujourd'hui (je n'ai pas allumé mon ordi hier), avec une mise à jour du noyau de la stable vers le 6.12.85 : https://security-tracker.debian.org/tracker/CVE-2026-31431

Idem pour Arch : https://security.archlinux.org/CVE-2026-31431

C'est aussi sûrement le cas pour les autres distributions majeures (pas cherché). Les forks suivront.

Bonjour à tous,

.

Edit :

https://ubuntu.com/security/cves?q=CVE-2026-31431

Bonjour à tous,

Si vous êtes déjà sous Ubuntu 26.04, vous n'êtes pas concernés indique le CERT EU :

Ubuntu 26.04 (Resolute) and later kernels are not affected [2].

https://cert.europa.eu/publications/security-advisories/2026-005/

Merci Gaby-Jo pour cette information très précieuse. Selon mes recherches si le noyau Linux est en version 7.0 on est hors de danger. Le patch est appliqué. Il est délà compilé dans plusieurs distributions. Pour les versions inférieures dont les systèmes ne peuvent migrer vers 7.0 j'ai appliqué le paramètre install algif_aead /bin/false.

Si cette faille de sécurité date de 2017 la réactivité à colmater la faille après sa découverte ne peut pas compenser le temps mis à la découvrir. Plusieurs générations de noyaux Linux ont été touchées. Mettre son noyau Linux à jour à la version la plus récente possible. Merci.

Cela va être corrigé pour tous les noyaux sous support. Une tempête dans un verre d'eau.

Salut,

ce qui m'intéresse de savoir c'est si des personnes ont exploité pendant toutes ces années (10 ans) cette faille de sécurité qui est considérée très sérieuse et ont pu avoir accès aux prévilèges root. Mes recherches ne me le disent pas pour le moment.

BONJOU

AH AH AH UNE FAILLE DANS LINUX ET CE DEPIUS 9ANS

PAS LA PENNE DE CRITIQUÉ WINDOWS 11 A LONGUEUR DE TEMPS!!!

on voit la paille dans l œil du viosin....!!!!!

bon sa m amuse!!!

CORDIALEMENT

Les ISO d’installation de Linux Mint ont fait récemment l’objet d’une mise à jour vers le noyau Linux 6.17. Apparemment ce n’est pas suffisant :

https://linuxmint.com/hwe.php

Sur Linux Mint, la faille “Copy Fail” n’est pas encore corrigée dans le noyau lui-même, mais une mesure de mitigation (contournement) a bien été déployée automatiquement via une mise à jour du paquet kmod.

https://forums.linuxmint.com/viewtopic.php?t=468151

Bonjour jepeto

La faille Linux a été corrigée rapidement.

En ce qui concerne W11, système bugué (M$ l'avoue et veut s'accorder un an pour essayer de le corriger) tu pourrais utiliser son correcteur orthographique à moins que lui aussi soit défaillant.

Un peu de respect pour ceux qui te lisent!!!!

jepeto a écrit :

BONJOU

AH AH AH UNE FAILLE DANS LINUX ET CE DEPIUS 9ANS

PAS LA PENNE DE CRITIQUÉ WINDOWS 11 A LONGUEUR DE TEMPS!!!

on voit la paille dans l œil du viosin....!!!!!

bon sa m amuse!!!

CORDIALEMENT

crétin

niala46

La faille Linux a été corrigée rapidement.

Exact sans s'en rendre compte sauf à scruter les journaux système.

J'ai exécuté pour vérifier la commande du lien de Tiger11 apt changelog kmod

kmod (31+20240202-2ubuntu7.2) noble-security; urgency=medium

* Disable loading of algif_aead module to mitigate CVE-2026-31431
(LP: #2150743)
- debian/modprobe.d/disable-algif_aead.conf

-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Thu, 30 Apr 2026 08:32:11 -0400

kmod (31+20240202-2ubuntu7.1) noble; urgency=medium

* SRU: LP: #2083480: No-change rebuild to disable frame pointers on
ppc64el and s390x.

Je n'ai rien fait de particulier sauf mettre à jour et le changement s'est fait.

Toujours dans le doute j'ai voulu vérifier le contenu de modprobe.d surtout le fichier disable-algif_aead.conf via Nemo.

# Disable algif_aead module due to CVE-2026-31431 (AKA copy.fail)
# This will likely be re-enabled in a subsequent update once an updated
# kernel has been deployed.
# Blacklisting the module isn't sufficient, we need to do as below:
install algif_aead /bin/false

Se tenir à jour suffit pour se protéger comme le précisait R136a1 ou enigma7.

Valable sous Linux comme Win.

jepeto a écrit :

BONJOU

AH AH AH UNE FAILLE DANS LINUX ET CE DEPIUS 9ANS

PAS LA PENNE DE CRITIQUÉ WINDOWS 11 A LONGUEUR DE TEMPS!!!

Salut

ton message montre surtout que tu ne sais pas de quoi tu parles.

Des failles il y en a toujours eu et il y en aura toujours dans tous les OS (Linux, BSD, Windows, MacOS, Androïd etc). L'important c'est leur degré de sévérité et le temps que mettent les développeurs à les combler une fois découvertes.

A bon entendeur...

Adrien en parle https://www.youtube.com/watch?v=_Okb1OJbgxA

Bonsoir à tous ,

@ jepeto, tu as la mémoire courte alors toi qui ricanes pour la faille Linux, que dis tu de :

Le Patch Tuesday de février de Windows 11a permis à Microsoft de colmater pas moins de 58 failles de sécurité, dont six failles activement exploitées par des cybercriminels.Parmi toutes ces failles de sécurité, l’une d’elles, considérée comme grave, touchait plus particulièrement le Bloc-notes de Windows. Cette brèche, identifiée sous la référence CVE-2026-20841, Microsoft la doit principalement à sa course effrénée pour ajouter de nouvelles fonctionnalités dans son éditeur de texte.

https://www.01net.com/actualites/windows-11-microsoft-a-corrige-une-importante-faille-de-securite-dans-le-bloc-notes.html

Pour poursuivre la discussion, je me demande si la faille du Copy cat n'a été que latente dans le noyau Linux sans que personne ne l'est découverte jusqu'à ce qu'une firme et une IA le fassent. Spéculation mais je n'ai pas beaucoup d'information avant que cette faille soit mise à jour. Linux est si fort qu'on peut y laisser dormir des failles bien cachées. On réagit vite oui et c'est le mieux à faire mais, sur le plan de la sécurité des utilisateurs et ce n'est pas rien devenir root sans effort, ce n'est pas optimal. Je suis gentil.

R136a1 a écrit :

Salut

comme d'hab avec Linux, ça n'a pas traîné. La faille a été corrigée sous Debian Trixie hier, ou aujourd'hui (je n'ai pas allumé mon ordi hier), avec une mise à jour du noyau de la stable vers le 6.12.85 : https://security-tracker.debian.org/tracker/CVE-2026-31431

Mis à jour ma Trixie stable ce matin, pas de mise à jour du kernel, restée en 6.12.74. Il faut être un peu patient.

enigma7 a écrit :

R136a1 a écrit :

Salut

comme d'hab avec Linux, ça n'a pas traîné. La faille a été corrigée sous Debian Trixie hier, ou aujourd'hui (je n'ai pas allumé mon ordi hier), avec une mise à jour du noyau de la stable vers le 6.12.85 : https://security-tracker.debian.org/tracker/CVE-2026-31431

Mis à jour ma Trixie stable ce matin, pas de mise à jour du kernel, restée en 6.12.74. Il faut être un peu patient.

Bonjour

Ce n'est pas normal il doit y avoir quelque chose qui va pas, car j'ai eu la mise à jour il y a 3 jours sous debian trixie.

Salut

idem pour moi, maj du kernel de Trixie vers le 6.12.85 il y a 3 jours et maj d'un de mes ordis toujours sous Bookworm vers le 6.1.170 il y a deux jours.

Ordi sous Trixie :

Linux b9400 6.12.85+deb13-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.85-1 (2026-04-30) x86_64 GNU/Linux

Ordi sous Bookworm :

Linux ux333 6.1.0-45-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.170-1 (2026-04-30) x86_64 GNU/Linux

Les kernels ont été compilés par Debian le 30 avril.

Comme le dit hido, il y a quelque chose qui cloche sur ta Debian. Commence par vérifier si ton sources.list est complet.

Les sources list on l'air ok, je ne les ais pas modifiés depuis l'install

D'après le site de recherche de Debian, en version stable (Trixie) donne la version maximale 6.12.85 du noyau Linux de hido. En testing (Forky) on approche de la version 7.0 mais en dessous à 6.19. Pour la version 7.0 il faut passer en unstable (sid).

bonsoir, pareil pour moi sur une stable

michel@debian-notebook:~$ uname -a
Linux debian-notebook 6.12.85+deb13-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.85-1 (2026-04-30) x86_64 GNU/Linux
michel@debian-notebook:~$

enigma7 a écrit :

Les sources list on l'air ok, je ne les ais pas modifiés depuis l'install

Alors c'est peut être que le kernel a été mis à jour mais que tu ne bootes pas dessus.

Vérifie que le 6.12.85 est bien installé. Si c'est le cas, c'est au niveau de ton bootloader que tu dois regarder, surtout si tu es en multiboot et que c'est un autre bootloader que celui de Debian qui a la main.

Je ne vois que ça...

Non il n'as pas été mis à jour et il n'est pas dans /boot, je l'aurai su, je déclenche manuellement les updates sur Redhat EL et Debian. De toutes façons Refind scrute tout sur ma tour

Ben alors là je sèche. C'est bien la première fois que je vois ton cas.

Peut-être consulter un marabout pour un démaraboutage en règle. On sait jamais...

Pour la faille critique, elle pourraît être à l'origine de l'attaque DDos Canonical.

https://fr.eloutput.com/Nouvelles/applications/Ubuntu-victime-d%27une-attaque-DDoS%C2%A0%3A-impact-r%C3%A9el-et-enseignements-pour-les-entreprises/

Salut

Non ça n'a rien à voir. Ubuntu a subi une attaque DDos. Ce n'est pas une exploitation de faille.

Oui je reconnais qu'une attaque DDos n'est rien que du bourrage de site et serveur pour saturation et une sorte de paralysie pour les services utilisateurs.

Je suis encore plus méfiant dans ce domaine depuis l'IA même sous Linux.

Après une mise-à-jour complète sous Debian qui concerne le noyau Linux, avant de redémarrer, je désinstalle tout ce qui concerne les noyaux precédents et ce qui leurs est relié (headers, kbuild, source) pour ne garder que le dernier et ce qui lui est relié. Apt met la surbrillance sur non quand vient le temps de désinstaller le noyau actif mais je la met sur oui et il le désinstalle.

Le système fonctionne mais je redémarre immédiatement après sur le plus récent noyau. Je fais confiance à la mise-à-jour et je n'ai jamais de problème. Le noyau Linux est mis à jour si souvent que je ne m'oblige pas à en garder en réserve. Je redémarre même sans mise à jour du noyau surtout quand celle-ci a été volumineuse. Sous Armbian le noyau est souvent mis à jour sans que la version ait changée dans /lib/modules. Il me dit toujours de redémarrer quand le noyau change.

Note: je suis en testing/sid donc si vous êtes en stable ou en LTS ça peut ne pas s'appliquer du tout, sûrement moins.

Salut,

Ikewdu@PCIKE-LMDE:~$ uname -a
Linux PCIKE-LMDE 6.12.85+deb13-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.85-1 (2026-04-30) x86_64 GNU/Linux

enigma7 a écrit :

Non il n'as pas été mis à jour et il n'est pas dans /boot, je l'aurai su, je déclenche manuellement les updates sur Redhat EL et Debian. De toutes façons Refind scrute tout sur ma tour

peux tu nous donner le retour de ces commandes :

sudo apt update

uname -r

apt policy linux-image-amd64


Je suis bien en 6.12.85 et je crois comprendre ce qui s'est passé. Il a fait une mise à jour en dehors de ma mise à jour forcée lors d'un reboot, c'est pour cela que je ne l'ai pas vu passer. Désolé pour les mauvaises infos du dessus.

ls -la /boot
total 298640
drwxr-xr-x 3 root root 4096 3 mai 07:30 .
drwxr-xr-x 18 root root 4096 3 mai 07:28 ..
-rw-r--r-- 1 root root 283277 8 mars 20:54 config-6.12.74+deb13+1-amd64
-rw-r--r-- 1 root root 283190 30 avril 13:38 config-6.12.85+deb13-amd64
drwxr-xr-x 2 root root 4096 3 mai 07:32 grub
-rw------- 1 root root 140445858 27 avril 09:29 initrd.img-6.12.74+deb13+1-amd64
-rw------- 1 root root 140529722 3 mai 07:29 initrd.img-6.12.85+deb13-amd64
-rw-r--r-- 1 root root 83 8 mars 20:54 System.map-6.12.74+deb13+1-amd64
-rw-r--r-- 1 root root 83 30 avril 13:38 System.map-6.12.85+deb13-amd64
-rw-r--r-- 1 root root 12113856 8 mars 20:54 vmlinuz-6.12.74+deb13+1-amd64
-rw-r--r-- 1 root root 12113856 30 avril 13:38 vmlinuz-6.12.85+deb13-amd64

Bonjour à tous,

Point de situation.

La faille de sécurité CVE-2026-31431, alias CopyFail, a été divulguée le 29 avril 2026. Cette publication semble avoir pris de court les mainteneurs des différentes distributions Linux. Où en sommes-nous dans la publication des correctifs ? Faisons le point.

Il est fortement recommandé de protéger les machines Linux de cette vulnérabilité, mais les correctifs sont-ils prêts ? La situation évolue favorablement, même si tous les patchs ne sont pas encore en ligne. Voici un récapitulatif.

https://www.it-connect.fr/copyfail-sur-linux-les-patchs-de-securite-sont-ils-disponibles/

jepeto a écrit :

BONJOU

AH AH AH UNE FAILLE DANS LINUX ET CE DEPIUS 9ANS

PAS LA PENNE DE CRITIQUÉ WINDOWS 11 A LONGUEUR DE TEMPS!!!

on voit la paille dans l œil du viosin....!!!!!

bon sa m amuse!!!

CORDIALEMENT

Salut,

Juste pour toi, jepeto :

Microsoft vient de publier son Patch Tuesday de mai 2026. L’éditeur colmate pas moins de 120 failles de sécurité, dont 17 critiques, mais aucune zero day.

https://www.01net.com/actualites/mise-a-jour-windows-microsoft-corrige-120-failles-dont-3-vulnerabilites-qui-risquent-de-faire-des-degats.html

Bonsoir à tous,

Une nouvelle faille ?

La série noire des vulnérabilités Linux continue. Mais, commençons par une précision importante : Jann Horn, membre de l'équipe Google Project Zero, avait déjà identifié cette faille de sécurité en 2020. À l'époque, un patch avait même été proposé, mais il n'a curieusement jamais été fusionné dans le code principal. À croire que ce n'était pas la bonne saison.

Depuis quelques heures, cette faille fait de nouveau parler d'elle, et cette fois-ci elle sera corrigée. Il faut dire que c'est une belle faille critique : elle permet à un utilisateur local non privilégié de lire n'importe quel fichier du système, y compris les fichiers dont root est propriétaire. Ainsi, il est possible de lire des fichiers comme /etc/shadow et même les clés SSH disponibles sur le système Linux.

Dans les faits, cette élévation de privilèges n'est pas aussi directe que dans le cas de CopyFail ; son impact n'en reste pas moins bien réel. En effet, cette technique d'attaque repose sur l'exploitation d'une race condition au sein du système.

Cette nouvelle vulnérabilité est également un exploit universel, comme celles découvertes ces derniers jours. Cela signifie qu'elle est exploitable sur différentes distributions Linux, dont Ubuntu, Debian, CentOS ou encore Arch Linux.

Les correctifs sont attendus dans les prochaines heures ou les prochains jours, selon la réactivité des mainteneurs. Linus Torvalds, de son côté, a déjà poussé le correctif dans le code source du noyau Linux via un nouveau commit destiné à être intégré dans une future version. En attendant, toutes les versions actuelles du noyau Linux sont vulnérables...

https://www.it-connect.fr/linux-cette-dangereuse-faille-oubliee-permet-de-voler-vos-cles-ssh-et-lire-les-fichiers-root/

Salut

ça sera vite patché, faut être patient. On peut d'ailleurs appliquer la même mitigation que pour Dirty Frag en attendant le patch de sa distro. Oups... J'avais pas lu ton article (honte à moi) je pensais que ça parlait de Fragnesia.

Quoi qu'il en soit, cette vulnérabilité et Fragnesia ont été corrigées hier par les mainteneurs officiels du noyau Linux dans les versions 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 et 5.10.256. Y a plus qu'à attendre les correctifs des distros

Par contre, gros soupçon de porte dérobée volontairement introduite par Microsoft him self dans son BitLocker : https://korben.info/une-faille-permet-douvrir-un-disque-bitlocker-avec-quelques-fichiers-sur-une-cle-usb.html

J' me marre...

Mises à jour comme tous les WE, CVE-2026-31431 corrigée pour le kernel LTS base Ubuntu 6.8.0-117

Salut

on parle de la vulnérabilité CVE-2026-46300 (Fragnesia) qui n'a pas encore reçu de correctif sous Debian et d'autres distros (mais ça va venir vu que les patchs officiels ont été publiés). La CVE-2026-31431 (Copy Fail) est corrigée depuis le 15/05 sous Debian avec le kernel 6.12.88-1.

Moi je parlais du titre du fil qui a fait l'objet de premier post. J'ai lu pour l'autre CVE. Faudra attendre aussi