Copy Fail + Dirty Frag : deux LPE root critiques sur Linux en 10 jours, ce qu'il faut patcher cette semaine
Deux vulnérabilités d'élévation de privilèges critiques sur le noyau Linux ont été divulguées entre le 29 avril et le 8 mai 2026 : Copy Fail (CVE-2026-31431) et Dirty Frag (CVE-2026-43284 + CVE-2026-43500). Les deux permettent à un utilisateur local non-privilégié de devenir root. Toutes les distros majeures sont affectées. Si une PME utilise des serveurs Linux (VPS, NAS, runners CI, hyperviseurs Proxmox, GitLab/Mattermost self-hosted), c'est une priorité de la semaine.
À retenir en 60 secondes
- 2 vulnérabilités distinctes sur le kernel Linux. Patcher l'une ne protège pas contre l'autre.
- Toutes les distros majeures affectées : Ubuntu, Debian, RHEL, SUSE, AlmaLinux, Amazon Linux, Fedora, openSUSE, OpenShift.
- CISA KEV (Known Exploited Vulnerabilities) : Copy Fail listé, deadline fédérale US au 15 mai 2026.
- Action minimale : mettre à jour les paquets kernel sur tous les serveurs Linux, redémarrer, vérifier la version active, archiver les preuves pour l'audit NIS2.
Copy Fail vs Dirty Frag : tableau comparatif
| Élément | Copy Fail | Dirty Frag |
|---|---|---|
| CVE | CVE-2026-31431 | CVE-2026-43284 + CVE-2026-43500 |
| Divulgation | 29 avril 2026 (Xint Code) | 7-8 mai 2026 (Wiz, Microsoft) |
| Module kernel | algif_aead (AF_ALG, crypto userspace) | esp4 / esp6 (IPsec) + rxrpc |
| Mécanisme | Écriture 4 octets dans page cache via authencesn | Déchiffrement in-place sur pages partagées (splice/sendfile) |
| CVSS | 7.8 | En cours, niveau équivalent (root LPE) |
| Impact | LPE root + corruption setuid | LPE root + évasion container possible |
| Statut patch | Corrigé : 6.18.22 / 6.19.12 / 7.0 | CVE-2026-43284 patché 8 mai. CVE-2026-43500 toujours en cours. |
| Mitigation existante | Blacklist module algif_aead | Aucune. Patch obligatoire. |
| CISA KEV | Oui (deadline 15 mai 2026) | Pas encore listé |
1. Copy Fail (CVE-2026-31431)
Copy Fail est un bug logique introduit en 2017 dans le template cryptographique authencesn(hmac(sha256),cbc(aes)) du module algif_aead. Une optimisation in-place de l'époque met en partage les scatterlists source et destination. Quand un utilisateur non-privilégié envoie un fichier via splice() sur la socket AF_ALG, le kernel écrit 4 octets de données contrôlées dans le page cache d'un fichier en lecture seule : par exemple un binaire setuid root. Modifier ces 4 octets suffit à ouvrir un shell root.
L'exploit publié par Xint Code tient en 10 lignes Python, 732 octets. Il fonctionne sans recompilation sur Ubuntu, Debian, RHEL, SUSE et toutes les distros qui embarquent un kernel 4.14 à 7.0-rc. Comparé à Dirty Cow (2016) et Dirty Pipe (2022), Copy Fail est plus fiable parce que purement déterministe : pas de fenêtre de race, pas de retry.
Versions corrigées : kernel 6.18.22, 6.19.12 et 7.0. Toutes les distros majeures ont publié des paquets correctifs entre le 1er et le 7 mai 2026.
2. Dirty Frag (CVE-2026-43284 + CVE-2026-43500)
Dirty Frag chaîne deux bugs distincts dans les fast paths de déchiffrement in-place de trois sous-systèmes réseau du kernel : esp4, esp6 (IPsec ESP, CVE-2026-43284) et rxrpc (CVE-2026-43500).
Quand un socket buffer contient des paged fragments qui ne sont pas la propriété privée du kernel, par exemple des pages issues d'un pipe attaché via splice(2), sendfile(2) ou MSG_SPLICE_PAGES, le chemin de réception déchiffre directement par-dessus ces pages externes. Le résultat : un attaquant non-privilégié peut soit corrompre des données plaintext qu'un autre processus pensait avoir, soit en exfiltrer le contenu.
Le piège : la mitigation Copy Fail ne protège PAS contre Dirty Frag
Plusieurs équipes IT pensent être protégées en ayant simplement blacklisté le module algif_aead (la mitigation Copy Fail). Dirty Frag est totalement indépendant : il vit dans la pile réseau (esp4/esp6/rxrpc), pas dans la crypto userspace. Si vous avez seulement blacklisté algif_aead, vous restez vulnérable à Dirty Frag. Seule action durable : patcher le kernel.
Plan d'action 4 étapes pour les PME
Inventorier vos serveurs Linux
VPS Hetzner/OVH/Scaleway, NAS Linux, hyperviseurs Proxmox, runners GitLab/GitHub Actions, instances self-hosted (Mattermost, Bitwarden, Vaultwarden, GitLab, Nextcloud, Plausible, Outline). Tout ce qui tourne un kernel Linux est concerné.
Vérifier la version du kernel sur chaque serveur
Sur chaque machine, exécuter la commande suivante pour récupérer la version active du kernel :
uname -r
Mettre à jour les paquets kernel et redémarrer
Toutes les distros majeures ont publié les correctifs. Exemples par famille de distribution :
# Ubuntu / Debian sudo apt update && sudo apt upgrade -y && sudo reboot # RHEL / Rocky / AlmaLinux / Fedora sudo dnf update kernel -y && sudo reboot # SUSE sudo zypper update kernel-default && sudo reboot
Archiver les preuves pour l'audit NIS2 Article 21
Capturer la version kernel avant/après, l'horodatage du redémarrage, le journal des paquets installés. Stockage durable conseillé : coffre-fort à preuves Kyrionn, ou simple dossier horodaté avec hashes SHA-256. C'est la preuve que la mesure de gestion des vulnérabilités (NIS2 Art. 21.2.b) a été appliquée dans des délais raisonnables.
uname -r && date -u +"%Y-%m-%dT%H:%M:%SZ" >> /var/log/kyrionn/cve-2026-31431-43284-43500.log
Pourquoi c'est aussi un enjeu NIS2
La directive NIS2 (UE 2022/2555), transposée en droit français depuis octobre 2024, impose à l'article 21.2.b une mesure de gestion des vulnérabilités documentée. Concrètement, pour les PME entités essentielles ou importantes, cela signifie : être capable de prouver à l'ANSSI (lors d'un audit ou après un incident) qu'un correctif critique a été appliqué dans des délais raisonnables après sa publication.
Une CVE classée KEV par la CISA, des distros qui patchent en 48-72h, une exploitation active confirmée : si un audit ANSSI tombe et que ces patchs ne sont pas appliqués 30 jours après leur publication, le contrôle gestion des vulnérabilités sera marqué comme non conforme. C'est le genre de finding qui se voit dans les rapports.
Comment Kyrionn vous aide à tracer ces patchs
- Coffre-fort à preuves : upload des logs
uname -ravant/après, horodatage automatique, tagging NIS2 Art. 21.2.b. Export auditeur en un clic. - Suivi fournisseurs et sous-traitants : envoyer un questionnaire pour vérifier que vos prestataires ont aussi patché (vos hébergeurs, SaaS Linux, sous-traitants managed services).
- Diagnostic NIS2 : contrôle de la mesure 21.2.b sur l'ensemble de vos serveurs, score de conformité, plan d'actions priorisé.
Diagnostiquer votre posture NIS2 en 15 min
Score sur 100 par mesure Article 21, plan d'actions priorisé, alertes patches critiques. Sans carte bancaire.
Sources officielles
- NVD : CVE-2026-31431 (Copy Fail)
- Red Hat RHSB-2026-02 : Copy Fail
- Red Hat RHSB-2026-003 : Dirty Frag
- CERT-EU 2026-005 : Linux kernel Copy Fail
- CISA Known Exploited Vulnerabilities Catalog
- CERT-FR : avis multiples noyau Linux (7 mai 2026)
- Microsoft Security Blog : Dirty Frag exploit actif
- Wiz Blog : Dirty Frag analyse technique
- EUR-Lex : Directive (UE) 2022/2555 (NIS2) Article 21
Patient Kotto
Ingénieur cybersécurité, 15 ans en gouvernance et conformité
Chef de projet sur des systèmes ferroviaires soumis à NIS2. RSSI externalisé via PK InfoSec. Questions sur ces patchs : · En savoir plus