Überspringen zum Hauptinhalt

Laufende Updates zu Copy.fail und Varianten

Bulletin-ID: 2026-030-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 13.05.2026, 18.30 Uhr PDT
Datum der letzten Aktualisierung: 15.05.2026 15.45 Uhr PDT
 

⚠️Dies ist ein fortlaufendes Problem. Dieses Bulletin wird aktualisiert, sobald weitere Informationen verfügbar sind.


Beschreibung:

AWS ist sich der Probleme der Kategorie „copy.fail“ oder „DirtyFrag“ bewusst – einer Reihe von Sicherheitslücken, die eine Ausweitung von Berechtigungen ermöglichen und den Linux-Kernel betreffen. Wir werden dieses Bulletin aktualisieren, sobald mehr Informationen verfügbar sind.

Im Folgenden finden Sie aktuelle Patch-Zeitpläne für die betroffenen Services im Zusammenhang mit dem Kernelproblem „Copy.fail“ und all seinen Varianten. AWS empfiehlt Kunden, alle Updates zur Behebung dieser Probleme zu installieren, sobald sie verfügbar sind. Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.
 

CVE-2026-46300 (auch bekannt als „Fragnesia“)

CVE-2026-46300 ist eine lokale Rechteeskalation, die das Linux-Kernel-Modul ESPINTCP betrifft. Amazon Linux und Bottlerocket bieten dieses Modul nicht an und sind nicht betroffen. Weitere Informationen finden Sie im Sicherheitsbulletin (ID: 2026-029-AWS).

Updates zu weiteren Services werden veröffentlicht, sobald sie verfügbar sind.

 

CVE-2026-43284 und CVE-2026-31431 (auch bekannt als „DirtyFrag“ oder „copy.fail 2“)

CVE-2026-43284 und CVE-2026-31431 sind eine Reihe von Sicherheitslücken, die eine Ausweitung von Berechtigungen ermöglichen und eine Reihe von Linux-Kernel-Modulen betreffen, darunter xfrm_user, esp4 und esp6. Weitere Informationen finden Sie unter: https://aws.amazon.com/security/security-bulletins/2026-027-aws/.
 

Betroffene Services:

  • Amazon Linux: Die Amazon-Linux-Kernel 4.14, 5.4, 5.10, 5.15, 6.1, 6.12 und 6.18 sind betroffen. AWS hat Updates für Amazon Linux veröffentlicht, die dieses Problem beheben. Wir empfehlen Kunden, die verfügbaren Kernel-Updates für ihre Umgebung zu installieren.

  • Bottlerocket: Aktualisierte Bottlerocket-AMIs werden am 19.05.2026 veröffentlicht.

  • ECS: ECS-optimierte AMIs, die dieses Problem beheben, werden bis zum 19.05.2026 verfügbar sein.

  • EKS: Updates für EKS-optimierte AMIs werden bis zum 19.05.2026 verfügbar sein.

  • EMR: AWS wird bis zum 26.05.2026 Updates für EMR veröffentlichen.

  • Fargate: Plattformversionen werden bis zum 25.05.2026 mit Patches in allen Regionen veröffentlicht.

  • AWS Deep Learning AMIs (DLAMI): AWS Deep Learning AMIS sind betroffen. Aktualisierte AMIs für Neuron Base, Trainium und Inferentia wurden veröffentlicht. Kunden, die Neuron DLAMis auf EC2 verwenden, sollten neue Instances mit der neuesten Neuron-DLAMI-Version starten.

  • Sagemaker: SageMaker führt gepatchte Rechenumgebungen für alle Services für CVE-2026-43284 und CVE-2026-43500 ein:

     – Alle Notebook-Instances, die nach dem 20. Mai 2026 erstellt oder neu gestartet werden, enthalten automatisch den gepatchten Kernel. Kunden sollten ihre Notebooks neu starten, um die neueste Kernel-Version herunterzuladen.

     – Patches für alle Hyperpod-Cluster stehen ab dem 20 Mai 2026 bereit. Dazu müssen Kunden ihre Cluster-Software aktualisieren, um den neuesten Kernel zu erhalten.

     – Alle SageMaker-Inference-Endpoints-, Studio- und Canvas-Ressourcen, die nach dem 20 Mai 2026 erstellt, neu gestartet oder aktualisiert wurden, enthalten den gepatchten Kernel. Kunden sollten ihre Studio- und Canvas-Apps neu starten, um die neueste Kernel-Version abzurufen.

     – Alle SageMaker-Trainingsjobs, Verarbeitungs- und Stapelumwandlungsjobs, die nach dem 20 Mai 2026 gestartet werden, verwenden automatisch den gepatchten Kernel. Für Kunden besteht kein Handlungsbedarf.

     – AWS beginnt mit dem Patchen aller vorhandenen SageMaker-Ressourcen, sobald die Patches verfügbar sind, mit Ausnahme von HyperPod, wie oben erwähnt.

Für Kunden mit von Fargate/ECS verwalteten Instances ist keine Kundenaktion erforderlich.

 

CVE-2026-31431 (auch bekannt als copy.fail)

CVE-2026-31431 ist ein Problem mit der Eskalation von Berechtigungen, das das Linux-Kernel-Modul algif_aead betrifft. Weitere Informationen finden Sie unter: https://aws.amazon.com/security/security-bulletins/2026-026-aws/.

Betroffene Services:

  • Amazon Linux: Die Amazon-Linux-Kernel 4.14, 5.4, 5.10, 5.15, 6.1, 6.12 und 6.18 sind betroffen. AWS hat Updates für Amazon Linux veröffentlicht, die dieses Problem beheben. Wir empfehlen Kunden, die verfügbaren Kernel-Updates für ihre Umgebung zu installieren.

  • Bottlerocket: AWS hat Updates zur Behebung dieses Problems für alle unterstützten Versionen von Bottlerocket veröffentlicht. Kunden sollten alle verfügbaren Updates auf ihre Bottlerocket-Hosts anwenden.

  • ECS: Updates zur Behebung dieses Problems für ECS auf EC2 und von ECS verwaltete Instances sind verfügbar. Kunden sollten alle verfügbaren Updates installieren.

  • EKS: Updates zur Behebung dieses Problems für EKS-optimierte AMIs sind verfügbar. Kunden sollten alle verfügbaren Updates installieren.

  • EMR: AWS wird bis zum 26.05.2026 Updates für EMR veröffentlichen.

  • Fargate: AWS hat Updates für 1.3 und 1.4 veröffentlicht. Kunden sollten alle verfügbaren Updates installieren.

  • AWS Deep Learning AMIs (DLAMI): Instances von AWS Deep Learning AMIS sind betroffen. Aktualisierte AMIs zur Behebung dieses Problems für Neuron Base, Trainium und Inferentia sind verfügbar. Kunden, die DLAMIs auf EC2 verwenden, sollten neue Instances aus den neuesten DLAMI-Versionen starten.

  • Sagemaker:

     – Alle Notebook-Instances, die nach dem 15.05.2026 erstellt oder neu gestartet werden, enthalten automatisch den gepatchten Kernel. Kunden sollten ihre Notebooks neu starten, um die neueste Kernel-Version herunterzuladen.

     – Patches für alle Hyperpod-Cluster stehen ab dem 15.05.2026 bereit. Kunden müssen ihre Cluster-Software aktualisieren, um den neuesten Kernel zu verwenden.

     – Alle SageMaker-Inference-Endpoints-, Studio- und Canvas-Ressourcen, die nach dem 15.05.2026 erstellt, neu gestartet oder aktualisiert wurden, enthalten den gepatchten Kernel. Kunden sollten ihre Studio- und Canvas-Apps neu starten, um die neueste Kernel-Version abzurufen.

     – Alle SageMaker-Trainings-, Verarbeitungs- und Stapelumwandlungsaufträge, die nach dem 15.05.2026 gestartet werden, verwenden automatisch den gepatchten Kernel. Für Kunden besteht kein Handlungsbedarf.

     – AWS beginnt mit dem Patchen aller vorhandenen SageMaker-Ressourcen, sobald die Patches verfügbar sind, mit Ausnahme von HyperPod, wie oben erwähnt.


Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.