ID do boletim: 2026-027-AWS
Escopo: AWS
Tipo de conteúdo: importante (requer atenção)
Data da publicação: 07/05/2026 19h45 PDT
Data de modificação: 13/05/2026 13h30 PDT
 

⚠️ Este é um problema em andamento. As informações estão sujeitas a alterações. Consulte nosso Boletim de segurança (ID: 2026-030-AWS) para obter as informações mais atualizadas sobre patches.

Descrição:

A Amazon está ciente de uma classe de problemas no kernel Linux (CVE-2026-43284) relacionados ao problema original (CVE-2026-31431). Os problemas comumente chamados de "DirtyFrag" estão presentes em vários módulos carregáveis, incluindo xfrm_user/esp4/esp6. Em sistemas que permitem que usuários sem privilégios criem soquetes diretamente ou por meio de CAP_NET_ADMIN ou permitem a criação de namespaces de usuário sem privilégios (usuário+rede), um agente pode obter acesso à memória do kernel e, assim, aumentar seus privilégios.

Ação do cliente necessária para os serviços afetados

Amazon Linux: os kernels do Amazon Linux 4.14, 5.4, 5.10, 5.15, 6.1, 6.12 e 6.18 foram afetados. A AWS lançou atualizações para o Amazon Linux abordando esse problema, e os clientes devem aplicar as atualizações mais recentes do kernel. Recomendamos consultar o Amazon Linux Security Center (ALAS) para obter informações atualizadas relacionadas a esse problema.

Recomendamos que os clientes apliquem as atualizações de kernel disponíveis em seus ambientes. Para mitigar vetores conhecidos sem aplicar atualizações de kernel, os clientes devem realizar as seguintes ações:

1. Verifique se os módulos estão carregados no host para todos os módulos afetados com o seguinte comando:
   
       lsmod | grep -E "esp4|esp6|rxrpc"
   
   Se algum dos módulos afetados estiver listado na saída, eles estão atualmente carregados. Se eles representarem um uso inesperado, reinicialize após os comandos a seguir. Se representarem um uso conhecido, avalie outras opções de mitigação.
   
   
2. Desabilite o carregamento futuro dos módulos afetados individualmente com os seguintes comandos:
   
       echo 'install esp4 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
       echo 'install esp6 /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
       echo 'install rxrpc /bin/false' >> /etc/modprobe.d/cve-copyfail2.conf
   
   Como alternativa, se os módulos afetados não estiverem carregados atualmente, desative o carregamento de todos os módulos adicionais do kernel com o seguinte comando:
   
       sysctl -w kernel.modules_disabled=1
   
   Observe que essa alteração é permanente até a próxima reinicialização.
   
   Para atenuar o vetor específico dos namespaces, o comando a seguir desativa a opção de criá-los:
   
       sysctl -w user.max_user_namespaces=0

Para clientes que estão usando os módulos mencionados acima, monitore seu ambiente em busca de execuções anômalas de setuid. Para obter mais informações sobre "Copyfail v1", consulte nosso Boletim de segurança.

Mais informações serão publicadas assim que as atualizações estiverem disponíveis em nosso Boletim de segurança (ID: 2026-030-AWS).

Boletins de segurança relacionados: variantes copy.fail:

1. Boletim de segurança 2026-029-AWS: CVE-2026-43284 (também conhecido como "Fragnesia")
2. Boletim de segurança 2026-026-AWS: CVE-2026-31431 (também conhecido como copy.fail)

Referências:

• CVE-2026-31431
• CVE-2026-43284
• https://explore.alas.aws.amazon.com/CVE-2026-43284.html
• AL2023 - kernel 6.1
• AL2023 - kernel 6.12
• AL2023 - kernel 6.18
• AL2 - kernel 4.14
• AL2 - kernel 5.4
• AL2 - kernel 5.10
• AL2 - kernel 5.15

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.