CopyFail - CVE-2026-31431

Title: Copy Fail: 732 octets pour devenir root sur toutes les principales distributions Linux

• Copy Fail (CVE-2026-31431) est une vulnérabilité critique dans le modèle de chiffrement authencesn du noyau Linux, qui permet à un utilisateur local non privilégié d’obtenir les privilèges root. Avec un exploit de 732 octets, il est possible de modifier des binaires setuid pour obtenir les privilèges root sur les principales distributions Linux comme Ubuntu, Amazon Linux, RHEL et SUSE.
• Cette vulnérabilité provient d’une erreur logique dans le placement des pages du page cache dans une scatterlist accessible en écriture, ce qui permet une écriture contrôlée de 4 octets dans le page cache de tout fichier lisible. Comme cela contourne le chemin d’écriture habituel, les sommes de contrôle sur disque restent inchangées, ce qui permet d’exploiter la faille de façon discrète.
• L’exploit utilise le type de socket AF_ALG et l’appel système splice() pour transmettre des pages du page cache au sous-système de chiffrement. Ensuite, l’implémentation de l’algorithme authencesn écrit des données dans ces pages du page cache au-delà du tampon de sortie prévu.
  Ce bug est très portable entre distributions et architectures, ne nécessite qu’un minimum de code (un court script Python), et peut également permettre une évasion de conteneur puisque le page cache est partagé à l’échelle du système.
• La cause profonde résulte de la combinaison du support AEAD de AF_ALG, du chemin splice() qui expose les pages du page cache, et surtout de la manière dont authencesn utilise le tampon de destination comme espace de travail depuis l’optimisation in-place introduite en 2017.
  L’exploit vise des binaires setuid courants comme /usr/bin/su. Il remplace une partie du binaire par du shellcode afin qu’il s’exécute avec les privilèges root lorsque le binaire est chargé depuis le page cache corrompu.
• Le correctif appliqué au noyau mainline rétablit les opérations AEAD de AF_ALG en mode out-of-place, séparant effectivement les scatterlist source et destination et supprimant la possibilité d’écrire dans des pages du page cache chaînées.
  Les solutions incluent un correctif du noyau et des mises à jour de paquets fournies par les distributions. Comme mesure d’atténuation immédiate, il est possible de bloquer la création de sockets AF_ALG via seccomp ou d’ajouter le module algif_aead à la liste noire.
• Cette vulnérabilité a été découverte par l’équipe de recherche Xint Code à l’aide d’outils de recherche en sécurité assistés par IA, à partir des premières intuitions de Taeyang Lee de Theori.