CopyFail sur Linux : les patchs de sécurité sont-ils disponibles ?
La faille de sécurité CVE-2026-31431, alias CopyFail, a été divulguée le 29 avril 2026. Cette publication semble avoir pris de court les mainteneurs des différentes distributions Linux. Où en sommes-nous dans la publication des correctifs ? Faisons le point.
Pour rappel, cette vulnérabilité de type “Local Privilege Escalation” (LPE), présente dans le sous-système cryptographique du noyau Linux (module ) depuis 2017, permet à un utilisateur non privilégié de passer root. Elle peut être exploitée par un utilisateur local, mais aussi à distance si elle est couplée à une autre vulnérabilité présente dans une application (un CMS non à jour, un plugin vulnérable, etc.).
Il est fortement recommandé de protéger les machines Linux de cette vulnérabilité, mais les correctifs sont-ils prêts ? La situation évolue favorablement, même si tous les patchs ne sont pas encore en ligne. Voici un récapitulatif.
Sommaire
Les versions du noyau affectées par CopyFail
Le noyau Linux 7.0 n’est pas vulnérable à la faille de sécurité CopyFail. Mais, d’une façon générale, celle-ci affecte de nombreuses versions, y compris LTS, et donc par extension beaucoup de distributions Linux.
La bonne nouvelle, c’est que les versions du noyau Linux bénéficiant d’un support à long terme (LTS) ont d’ores et déjà reçu un correctif. Voici les versions mises à jour qui intègrent ce patch :
- Série 6.12 LTS : corrigée via la version 6.12.85
- Série 6.6 LTS : corrigée via la version 6.6.137
- Série 6.1 LTS : corrigée via la version 6.1.170
- Série 5.15 LTS : corrigée via la version 5.15.204
- Série 5.10 LTS : corrigée via la version 5.10.254
Attention : les distributions utilisant des noyaux en fin de vie (EOL), tels que Linux 6.17 ou 6.19 (à l’image d’Ubuntu 25.10, par exemple), sont également vulnérables à cette faille.
Patchs CopyFail pour les distributions Linux
Cette vulnérabilité affecte le noyau Linux, et le problème, c’est que la version utilisée dépend d’une distribution à une autre. Je dirais même d’une version de distribution à une autre. Ainsi, les mainteneurs doivent rétroporter le correctif de sécurité sur le noyau Linux qu’ils utilisent pour leur distribution, sans négliger les phases de tests notamment. C’est d’autant plus vrai que le correctif de sécurité a initialement été poussé dans une version Release Candidate du noyau Linux 7.0 (encore très peu utilisé).
Le tableau ci-dessous est susceptible d’évoluer à tout moment, mais voici un état actuel en date du mardi 5 mai 2026.
| Distribution | Versions concernées | Patch dispo ? | Version avec le patch / Solution | Lien |
| Debian | Bullseye (11), Bookworm (12), Trixie (13), Sid |
Oui |
(Bullseye), (Bookworm), (Trixie), (Sid). |
Debian Security Tracker |
| Ubuntu | Toutes les versions avant 26.04 (Resolute) | Oui (Mitigation kmod + noyau en cours) | Le correctif du noyau est en cours de déploiement.
Une mise à jour du paquet a été poussée pour désactiver le module vulnérable. |
Ubuntu Security Blog |
| AlmaLinux | AlmaLinux 8, 9 et 10 | Oui |
(v8), (v9), (v10). |
AlmaLinux Blog |
| Fedora | Fedora 42/43 | Oui | Mis à jour vers les noyaux : , et . | Fedora Discussion |
| Arch Linux | Rolling Release / LTS | Oui | Noyau et LTS . | Arch Linux Security |
| Red Hat (RHEL), CentOS, Rocky Linux | RHEL 8, 9, 10 et dérivés. | Oui, pour certaines versions. |
Patch RHEL 10 publié le 5 mai 2026, Patch RHEL 9 publié le 4 mai 2026, Pour les autres versions, les correctifs sont en attente. En attendant, Red Hat et Rocky Linux recommandent l’ajout de cet argument de boot : . |
Red Hat CVE / Rocky Forum |
Patchs CopyFail pour les systèmes NAS
La situation sur les NAS est plus contrastée car elle dépend de l’architecture matérielle et du noyau Linux intégré par le constructeur. Voici déjà de premières informations à ce sujet pour QNAP, Synology et ASUSTOR.
| Nom du constructeur | Système / Versions | Patch disponible ? | Statut / Version de mitigation | Lien vers la ressource officielle |
| QNAP | QTS | Non | Seuls les modèles ARM64 avec le système QTS sont vulnérables, en particulier ceux avec le noyau Linux 5.10. | QNAP Security Advisory |
| Synology | DSM n’est pas affecté par cette vulnérabilité. | – | – | – |
| ASUSTOR | ADM | En attente, aucune information trouvée sur le Web. | – | – |
Installation du patch CopyFail sur Debian 13
Pour finir, regardons comment effectuer l’installation du patch CopyFail sur une machine Debian 13. Sachez que l’installation du correctif de sécurité nécessite un redémarrage (puisque la modification affecte le noyau).
Vous devez mettre à jour le cache des paquets et effectuer les mises à jour :
Cela va permettre d’installer les dernières mises à jour disponibles. Dans le cas de Debian 13, la version patchée est : . Pour connaître la version du noyau Linux actuellement chargée par votre machine, exécutez cette commande :
Ici, on peut voir : . Ce n’est pas la version attendue. Néanmoins, ce n’est peut être qu’une question de redémarrage en attente… Vous pouvez le vérifier via cette commande :
Il y a bien deux lignes qui font référence à la version espérée : . Le statut au début de la ligne signifie que la version a été installée et configurée, mais il manque le redémarrage. Redémarrez et vérifiez ensuite la version du noyau. Cela devrait être mieux !
Voilà, vous disposez bien du patch pour la faille de sécurité CopyFail sur votre machine Debian.
Si vous souhaitez apporter des informations supplémentaires pour un OS ou un produit spécifique, n’hésitez pas à commenter cet article.