ID bollettino: 2026-027-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 07/05/2026 19:45 PDT
Data di modifica: 13/05/2026 13:30 PDT
 

⚠️ Si tratta di un problema in corso. Le informazioni sono soggette a modifiche. Consulta il Bollettino sulla sicurezza (ID: 2026-030-AWS) per informazioni aggiornate sull’applicazione di patch.

Descrizione:

Amazon è a conoscenza di una serie di problemi nel kernel Linux (CVE-2026-43284) relativi al problema originale (CVE-2026-31431). I problemi comunemente denominati “DirtyFrag” sono presenti in una serie di moduli caricabili, tra cui xfrm_user/esp4/esp6. Sui sistemi che consentono agli utenti senza privilegi di creare socket direttamente o tramite CAP_NET_ADMIN, o che consentono la creazione di namespace degli utenti senza privilegi (utente+net), un attore può accedere alla memoria del kernel e quindi effettuare l’escalation dei propri privilegi.

Azione del cliente richiesta per i servizi interessati

Amazon Linux: sono interessati i kernel Amazon Linux 4.14, 5.4, 5.10, 5.15, 6.1, 6.12 e 6.18. AWS ha rilasciato aggiornamenti per Amazon Linux per risolvere questo problema e i clienti devono applicare gli ultimi aggiornamenti del kernel. Consigliamo di consultare Amazon Linux Security Center (ALAS) per informazioni aggiornate relative a questo problema.

Consigliamo ai clienti ai applicare gli aggiornamenti del kernel disponibili nel proprio ambiente. Per mitigare i vettori noti senza aggiornare il kernel, i clienti sono tenuti a seguire questi passaggi:

1. Controllare se i moduli sono caricati sull’host per tutti i moduli interessati con il seguente comando:
   
       lsmod | grep -E "esp4|esp6|rxrpc"
   
   Se uno dei moduli interessati è elencato nell’output, significa che è attualmente caricato. Se rappresentano un utilizzo imprevisto, riavviare dopo i comandi seguenti. Se rappresentano un uso noto, valutare altre opzioni di mitigazione.
   
   
2. Disabilitare il caricamento futuro dei moduli interessati singolarmente con i seguenti comandi:
   
       echo 'install esp4 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
       echo 'install esp6 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
       echo 'install rxrpc /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
   
   In alternativa, se i moduli interessati non sono attualmente caricati, disabilitare il caricamento di tutti i moduli del kernel aggiuntivi con il seguente comando:
   
       sysctl -w kernel.modules_disabled=1
   
   Tieni presente che questa modifica è permanente fino al riavvio successivo.
   
   Per mitigare il vettore specifico dei namespace, il seguente comando disabilita l’opzione per crearli:
   
       sysctl -w user.max_user_namespaces=0

Ai clienti che utilizzano i moduli indicati in precedenza suggeriamo di monitorare l’ambiente per eventuali esecuzioni anomale di setuid. Per ulteriori informazioni su “Copyfail v1”, consulta il nostro Bollettino sulla sicurezza.

Ulteriori informazioni verranno pubblicate non appena saranno disponibili gli aggiornamenti nel Bollettino sulla sicurezza (ID: 2026-030-AWS).

Bollettini sulla sicurezza correlati - Varianti copy.fail:

1. Bollettino sulla sicurezza 2026-029-AWS - CVE-2026-43284 (noto anche come “Fragnesia”)
2. Bollettino sulla sicurezza 2026-026-AWS: CVE-2026-31431 (noto anche come copy.fail)

Riferimenti:

• CVE-2026-31431
• CVE-2026-43284
• https://explore.alas.aws.amazon.com/CVE-2026-43284.html
• AL2023 - kernel 6.1
• AL2023 - kernel 6.12
• AL2023 - kernel 6.18
• AL2 - kernel 4.14
• AL2 - kernel 5.4
• AL2 - kernel 5.10
• AL2 - kernel 5.15

Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.