Share
## https://sploitus.com/exploit?id=90212030-AEE0-5F94-9067-68EF718F7778
# CVE-2026-31431 - Copy Fail - Je s'appelle ROOT !#

![CVE](https://img.shields.io/badge/CVE-2026--31431-red)
![Type](https://img.shields.io/badge/Type-Local%20Privilege%20Escalation-orange)
![Platform](https://img.shields.io/badge/Platform-Linux-blue)
![Status](https://img.shields.io/badge/Focus-Remediation%20%2F%20Hardening-green)

## 📌 Objectif du dĂ©pĂŽt

Ce dépÎt documente la vulnérabilité **CVE-2026-31431**, surnommée **Copy Fail**, et propose une procédure de **remédiation défensive** pour les systÚmes Linux potentiellement exposés.

> ⚠ Ce dĂ©pĂŽt est strictement orientĂ© dĂ©fense, audit autorisĂ©, durcissement et remĂ©diation.  
> Il ne fournit pas de procĂ©dure d’exploitation et ne doit pas ĂȘtre utilisĂ© pour compromettre des systĂšmes tiers.

---

## 1. Résumé exécutif

**CVE-2026-31431 / Copy Fail** est une vulnĂ©rabilitĂ© d’élĂ©vation locale de privilĂšges dans le noyau Linux.

Elle concerne le sous-systĂšme cryptographique du noyau, plus prĂ©cisĂ©ment l’interface utilisateur **AF_ALG** et le module **`algif_aead`**. La faille est liĂ©e Ă  une optimisation introduite en 2017 dans le chemin AEAD du noyau Linux. Dans certaines conditions, un utilisateur local non privilĂ©giĂ© peut provoquer une Ă©criture contrĂŽlĂ©e dans le **page cache** d’un fichier lisible, notamment un binaire setuid, ce qui peut conduire Ă  une Ă©lĂ©vation de privilĂšges vers `root`.

La vulnérabilité est considérée comme **High** avec un score **CVSS v3.1 de 7.8**.

---

## 2. Informations CVE

| ÉlĂ©ment | DĂ©tail |
|---|---|
| CVE | CVE-2026-31431 |
| Nom public | Copy Fail |
| Type | Local Privilege Escalation, LPE |
| Composant | Linux kernel crypto subsystem |
| Module concerné | `algif_aead` |
| Interface | `AF_ALG` |
| Mécanisme impliqué | AEAD, `authencesn`, `splice()`, page cache |
| Score CVSS v3.1 | 7.8 High |
| PrivilÚges requis | Compte local non privilégié |
| Interaction utilisateur | Aucune |
| Impact | Confidentialité, intégrité et disponibilité élevées |

---

## 3. SystÚmes concernés

Les sources publiques indiquent que les distributions Linux embarquant un noyau dĂ©rivĂ© d’une branche vulnĂ©rable depuis l’optimisation de 2017 peuvent ĂȘtre exposĂ©es.

Exemples de plateformes mentionnées dans les publications publiques :

| Distribution | Exemple de version noyau testée publiquement |
|---|---|
| Ubuntu 24.04 LTS | 6.17.0-1007-aws |
| Amazon Linux 2023 | 6.18.8-9.213.amzn2023 |
| RHEL 10.1 | 6.12.0-124.45.1.el10_1 |
| SUSE 16 | 6.12.0-160000.9-default |
| Debian | Selon version noyau et statut de sécurité |
| AlmaLinux / Rocky Linux / Oracle Linux | Selon version noyau et backports fournisseur |

> Le statut exact dépend de la version du noyau, du fournisseur, des backports de sécurité et des correctifs déjà appliqués.

---

## 4. Pourquoi cette faille est critique

Cette vulnĂ©rabilitĂ© est particuliĂšrement dangereuse dans les environnements oĂč des utilisateurs ou workloads non fiables ont accĂšs Ă  un shell local ou Ă  un environnement d’exĂ©cution partagĂ©.

Environnements Ă  prioriser :

- serveurs multi-utilisateurs ;
- serveurs SSH exposés à plusieurs comptes ;
- plateformes de formation ou de TP ;
- runners CI/CD ;
- serveurs de build ;
- clusters Kubernetes ;
- hĂŽtes de conteneurs ;
- plateformes mutualisées ;
- environnements cloud multi-tenant.

Risque principal :

- élévation locale vers `root` ;
- compromission de l’hîte ;
- contournement partiel de contrĂŽles d’intĂ©gritĂ© disque car la modification peut rĂ©sider en mĂ©moire via le page cache ;
- impact potentiel sur les conteneurs partageant le mĂȘme noyau hĂŽte.

---

## 5. Vérification rapide

### 5.1 Identifier la version du noyau

```bash
uname -a
uname -r