ID del boletín: 2026-027-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 07/05/2026 19:45 h PDT
Fecha de modificación: 13/05/2026 13:30 h PDT
 

⚠️ Se trata de un problema que aún no se resolvió. La información está sujeta a cambios. Consulte nuestro boletín seguridad (ID: 2026-030-AWS) para obtener la información más actualizada sobre las revisiones.

Descripción:

Amazon tiene conocimiento de una clase de problemas en el kernel de Linux (CVE-2026-43284) relacionados con el problema original (CVE-2026-31431). Los problemas comúnmente denominados “DirtyFrag” están presentes en varios módulos cargables, como xfrm_user/esp4/esp6. En los sistemas que permiten a los usuarios sin privilegios crear sockets directamente o mediante CAP_NET_ADMIN o que permiten la creación de espacios de nombres de usuario sin privilegios (usuario+red), un actor puede obtener acceso a la memoria del kernel y, por lo tanto, aumentar sus privilegios.

Se necesita una acción del cliente para los servicios afectados

Amazon Linux: los kernels 4.14, 5.4, 5.10, 5.15, 6.1, 6.12 y 6.18 de Amazon Linux se ven afectados. AWS ha publicado actualizaciones para Amazon Linux que abordan este problema y los clientes deben aplicar las actualizaciones más recientes del kernel. Recomendamos consultar el Centro de seguridad de Amazon Linux (ALAS) para obtener información actualizada relacionada con este problema.

Recomendamos a los clientes que apliquen las actualizaciones del kernel disponibles para su entorno. Para mitigar los vectores conocidos sin aplicar las actualizaciones del kernel, los clientes deben tomar las siguientes medidas:

1. Comprobar si los módulos están cargados en el host para todos los módulos afectados con el siguiente comando:
   
       lsmod | grep -E "esp4|esp6|rxrpc"
   
   Si alguno de los módulos afectados aparece en la salida, significa que está cargado actualmente. Si representan un uso inesperado, reinicie después de los siguientes comandos. Si representan un uso conocido, evalúe otras opciones de mitigación.
   
   
2. Deshabilitar la carga futura de los módulos afectados de forma individual con los siguientes comandos:
   
       echo 'install esp4 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
       echo 'install esp6 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
       echo 'install rxrpc /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
   
   Como alternativa, si los módulos afectados no están cargados actualmente, deshabilite la carga de todos los módulos adicionales del kernel con el siguiente comando:
   
       sysctl -w kernel.modules_disabled=1
   
   Tenga en cuenta que este cambio es permanente hasta el próximo reinicio.
   
   Para mitigar el vector específico de los espacios de nombres, el siguiente comando deshabilita la opción de crearlos:
   
       sysctl -w user.max_user_namespaces=0

Para los clientes que utilizan los módulos mencionados anteriormente, supervise su entorno para detectar ejecuciones de setuid anómalas. Para obtener más información sobre “Copyfail v1”, consulte nuestro boletín de seguridad.

Se publicará más información tan pronto como haya actualizaciones disponibles en nuestro boletín de seguridad (ID: 2026-030-AWS).

Boletines de seguridad relacionados: variantes de copy.fail:

1. Boletín de seguridad 2026-029-AWS: CVE-2026-43284 (también conocido como “Fragnesia”)
2. Boletín de seguridad 2026-026-AWS: CVE-2026-31431 (también conocido como copy.fail)

Referencias:

• CVE-2026-31431
• CVE-2026-43284
• https://explore.alas.aws.amazon.com/CVE-2026-43284.html
• AL2023: kernel 6.1
• AL2023: kernel 6.12
• AL2023: kernel 6.18
• AL2: kernel 4.14
• AL2: kernel 5.4
• AL2: kernel 5.10
• AL2: kernel 5.15

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.