ID du bulletin : 2026-027-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 07/05/2026 à 19 h 45 (heure du Pacifique)
Date de modification : 13/05/2026 à 13 h 30 (heure du Pacifique)
 

⚠️ Il s’agit d’un problème persistant. Les informations sont susceptibles d’être modifiées. Consultez notre Bulletin de sécurité (ID : 2026-030-AWS) pour obtenir les informations les plus récentes sur les correctifs.

Description :

Amazon a connaissance d’une catégorie de problèmes dans le noyau Linux (CVE-2026-43284) liés au problème initial (CVE-2026-31431). Les problèmes communément appelés « Dirty Frag » sont présents dans un certain nombre de modules chargeables, notamment xfrm_user/esp4/esp6. Sur les systèmes qui permettent aux utilisateurs non privilégiés de créer des sockets directement ou via CAP_NET_ADMIN, ou qui autorisent la création d’espaces de noms utilisateur non privilégiés (user+net), un acteur peut accéder à la mémoire du noyau et ainsi élever ses privilèges.

Action du client requise pour les services concernés

Amazon Linux : les noyaux Amazon Linux 4.14, 5.4, 5.10, 5.15, 6.1, 6.12 et 6.18 sont concernés. AWS a publié des mises à jour d’Amazon Linux pour résoudre ce problème, et les clients doivent appliquer les dernières mises à jour du noyau. Nous vous recommandons de consulter le centre de sécurité Amazon Linux (ALAS) pour obtenir des informations à jour concernant ce problème.

Nous recommandons aux clients d’appliquer les mises à jour du noyau disponibles pour leur environnement. Pour atténuer les vecteurs connus sans appliquer de mises à jour du noyau, les clients doivent prendre les mesures suivantes :

1. Vérifiez si les modules sont chargés sur l’hôte pour tous les modules concernés à l’aide de la commande suivante :
   
       lsmod | grep -E "esp4|esp6|rxrpc"
   
   Si des modules concernés sont répertoriés dans la sortie, cela signifie qu’ils sont actuellement chargés. Si leur utilisation est inattendue, redémarrez après avoir exécuté les commandes suivantes. Si leur utilisation est connue, veuillez évaluer les autres options d’atténuation.
   
   
2. Désactivez le chargement futur des modules concernés individuellement à l’aide des commandes suivantes :
   
       echo 'install esp4 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
       echo 'install esp6 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
       echo ’install rxrpc /bin/false’ >> /etc/modprobe.d/cve-copyfail2.conf
   
   Sinon, si les modules concernés ne sont pas chargés actuellement, désactivez le chargement de tous les modules supplémentaires du noyau à l’aide de la commande suivante :
   
       sysctl -w kernel.modules_disabled=1
   
   Veuillez noter que cette modification reste active jusqu’au prochain redémarrage.
   
   Pour atténuer le vecteur spécifique aux espaces de noms, la commande suivante désactive l’option permettant de les créer :
   
       sysctl -w user.max_user_namespaces=0

Pour les clients qui utilisent les modules mentionnés ci-dessus, veuillez surveiller votre environnement pour détecter d’éventuelles exécutions anormales de setuid. Pour en savoir plus sur « Copyfail v1 », consultez notre Bulletin de sécurité.

De plus amples informations seront publiées dès que des mises à jour seront disponibles dans notre Bulletin de sécurité (ID : 2026-030-AWS).

Bulletins de sécurité associés – variantes de copy.fail :

1. Bulletin de sécurité 2026-029-AWS – CVE-2026-43284 (également connu sous le nom de « Fragnesia »)
2. Bulletin de sécurité 2026-026-AWS – CVE-2026-31431 (également connu sous le nom de copy.fail)

Références :

• CVE-2026-31431
• CVE-2026-43284
• https://explore.alas.aws.amazon.com/CVE-2026-43284.html
• AL2023 – noyau 6.1
• AL2023 – noyau 6.12
• AL2023 – noyau 6.18
• AL2 – noyau 4.14
• AL2 – noyau 5.4
• AL2 – noyau 5.10
• AL2 – noyau 5.15

Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.