Share
## https://sploitus.com/exploit?id=90212030-AEE0-5F94-9067-68EF718F7778
# CVE-2026-31431 - Copy Fail - Je s'appelle ROOT !#




## đ Objectif du dĂ©pĂŽt
Ce dépÎt documente la vulnérabilité **CVE-2026-31431**, surnommée **Copy Fail**, et propose une procédure de **remédiation défensive** pour les systÚmes Linux potentiellement exposés.
> â ïž Ce dĂ©pĂŽt est strictement orientĂ© dĂ©fense, audit autorisĂ©, durcissement et remĂ©diation.
> Il ne fournit pas de procĂ©dure dâexploitation et ne doit pas ĂȘtre utilisĂ© pour compromettre des systĂšmes tiers.
---
## 1. Résumé exécutif
**CVE-2026-31431 / Copy Fail** est une vulnĂ©rabilitĂ© dâĂ©lĂ©vation locale de privilĂšges dans le noyau Linux.
Elle concerne le sous-systĂšme cryptographique du noyau, plus prĂ©cisĂ©ment lâinterface utilisateur **AF_ALG** et le module **`algif_aead`**. La faille est liĂ©e Ă une optimisation introduite en 2017 dans le chemin AEAD du noyau Linux. Dans certaines conditions, un utilisateur local non privilĂ©giĂ© peut provoquer une Ă©criture contrĂŽlĂ©e dans le **page cache** dâun fichier lisible, notamment un binaire setuid, ce qui peut conduire Ă une Ă©lĂ©vation de privilĂšges vers `root`.
La vulnérabilité est considérée comme **High** avec un score **CVSS v3.1 de 7.8**.
---
## 2. Informations CVE
| ĂlĂ©ment | DĂ©tail |
|---|---|
| CVE | CVE-2026-31431 |
| Nom public | Copy Fail |
| Type | Local Privilege Escalation, LPE |
| Composant | Linux kernel crypto subsystem |
| Module concerné | `algif_aead` |
| Interface | `AF_ALG` |
| Mécanisme impliqué | AEAD, `authencesn`, `splice()`, page cache |
| Score CVSS v3.1 | 7.8 High |
| PrivilÚges requis | Compte local non privilégié |
| Interaction utilisateur | Aucune |
| Impact | Confidentialité, intégrité et disponibilité élevées |
---
## 3. SystÚmes concernés
Les sources publiques indiquent que les distributions Linux embarquant un noyau dĂ©rivĂ© dâune branche vulnĂ©rable depuis lâoptimisation de 2017 peuvent ĂȘtre exposĂ©es.
Exemples de plateformes mentionnées dans les publications publiques :
| Distribution | Exemple de version noyau testée publiquement |
|---|---|
| Ubuntu 24.04 LTS | 6.17.0-1007-aws |
| Amazon Linux 2023 | 6.18.8-9.213.amzn2023 |
| RHEL 10.1 | 6.12.0-124.45.1.el10_1 |
| SUSE 16 | 6.12.0-160000.9-default |
| Debian | Selon version noyau et statut de sécurité |
| AlmaLinux / Rocky Linux / Oracle Linux | Selon version noyau et backports fournisseur |
> Le statut exact dépend de la version du noyau, du fournisseur, des backports de sécurité et des correctifs déjà appliqués.
---
## 4. Pourquoi cette faille est critique
Cette vulnĂ©rabilitĂ© est particuliĂšrement dangereuse dans les environnements oĂč des utilisateurs ou workloads non fiables ont accĂšs Ă un shell local ou Ă un environnement dâexĂ©cution partagĂ©.
Environnements Ă prioriser :
- serveurs multi-utilisateurs ;
- serveurs SSH exposés à plusieurs comptes ;
- plateformes de formation ou de TP ;
- runners CI/CD ;
- serveurs de build ;
- clusters Kubernetes ;
- hĂŽtes de conteneurs ;
- plateformes mutualisées ;
- environnements cloud multi-tenant.
Risque principal :
- élévation locale vers `root` ;
- compromission de lâhĂŽte ;
- contournement partiel de contrĂŽles dâintĂ©gritĂ© disque car la modification peut rĂ©sider en mĂ©moire via le page cache ;
- impact potentiel sur les conteneurs partageant le mĂȘme noyau hĂŽte.
---
## 5. Vérification rapide
### 5.1 Identifier la version du noyau
```bash
uname -a
uname -r