Passer au contenu principal

Mises à jour continues sur copy.fail et ses variantes

ID du bulletin : 2026-030-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 13/05/2026 à 18 h 30 (heure du Pacifique)
Date de la dernière mise à jour : 15/05/2026 à 15 h 45 (heure du Pacifique)
 

⚠️ Il s’agit d’un problème persistant. Ce bulletin sera mis à jour à mesure que de plus amples informations seront disponibles.


Description :

AWS est au courant de la classe de problèmes « copy.fail » ou « Dirty Frag », un ensemble de problèmes d’élévation de privilèges affectant le noyau Linux. Nous mettrons à jour ce bulletin dès que nous disposerons de plus amples informations.

Veuillez consulter la chronologie actuelle des correctifs ci-dessous pour les services concernés liés au problème de noyau « copy.fail » et à toutes ses variantes. AWS recommande aux clients d’appliquer toutes les mises à jour résolvant ces problèmes dès leur disponibilité. Veuillez envoyer un e-mail à aws-security@amazon.com pour toute question ou préoccupation relative à la sécurité.
 

CVE-2026-46300 (problème également connu sous le nom de « Fragnesia »)

Le problème CVE-2026-46300 concerne une élévation de privilèges locale qui affecte le module espintcp du noyau Linux. Amazon Linux et Bottlerocket ne fournissent pas ce module et ne sont pas concernés. Pour plus d’informations, consultez le Bulletin de sécurité (ID : 2026-029-AWS).

Des mises à jour sur les services supplémentaires seront publiées dès leur disponibilité.

 

CVE-2026-43284 et CVE-2026-31431 (également connus sous le nom de « Dirty Frag » et copy.fail 2)

Les problèmes CVE-2026-43284 et CVE-2026-31431 concernent un ensemble de problèmes d’élévation de privilèges affectant un certain nombre de modules du noyau Linux, notamment xfrm_user, esp4 et esp6. Pour plus d’informations, consultez : https://aws.amazon.com/security/security-bulletins/2026-027-aws/.
 

Services concernés :

  • Amazon Linux : les noyaux Amazon Linux 4.14, 5.4, 5.10, 5.15, 6.1, 6.12 et 6.18 sont concernés. AWS a publié des mises à jour pour Amazon Linux afin de résoudre ce problème. Nous recommandons aux clients d’appliquer les mises à jour du noyau disponibles pour leur environnement.

  • Bottlerocket : les AMI Bottlerocket mises à jour seront publiées d’ici le 19/05/2026.

  • ECS : les AMI optimisées pour ECS résolvant ce problème seront disponibles d’ici le 19/05/2026.

  • EKS : les mises à jour pour les AMI optimisées pour EKS seront disponibles d’ici le 19/05/2026.

  • EMR : AWS publiera des mises à jour pour EMR d’ici le 26/05/2026.

  • Fargate : des versions de plateforme seront publiées avec des correctifs dans toutes les régions d’ici le 25/05/2026.

  • Instances AWS Deep Learning AMI (DLAMI) : les instances AWS Deep Learning AMI sont concernées. Des AMI mises à jour pour Neuron Base, Trainium et Inferentia ont été publiées. Les clients utilisant des instances DLAMI Neuron sur EC2 doivent lancer de nouvelles instances avec la dernière version de DLAMI Neuron.

  • SageMaker : SageMaker déploie des environnements de calcul corrigés sur tous les services pour les problèmes CVE-2026-43284 et CVE-2026-43500 :

     - Toutes les instances de bloc-notes créées ou redémarrées après le 20 mai 2026 incluront automatiquement le noyau corrigé. Les clients doivent redémarrer leurs blocs-notes pour récupérer la dernière version du noyau.

     - Des correctifs pour tous les clusters HyperPod seront disponibles d’ici le 20 mai 2026. Cela obligera les clients à mettre à jour le logiciel de leur cluster pour accéder à la dernière version du noyau.

     - Tous les points de terminaison d’inférence SageMaker et toutes les ressources SageMaker Studio et SageMaker Canvas créés, redémarrés ou mis à jour après le 20 mai 2026 incluront le noyau corrigé. Les clients doivent redémarrer leurs applications Studio et Canvas pour récupérer la dernière version du noyau.

     - Toutes les tâches d’entraînement, de traitement et de transformation par lots SageMaker lancées après le 20 mai 2026 utiliseront automatiquement le noyau corrigé. Aucune action n’est nécessaire de la part du client.

     - AWS commencera à appliquer des correctifs à toutes les ressources SageMaker existantes dès que les correctifs seront disponibles, à l’exception d’HyperPod, comme indiqué ci-dessus.

Aucune action du client n’est requise pour les clients de Fargate/des instances gérées ECS.

 

CVE-2026-31431 (problème également connu sous le nom de copy.fail)

Le problème CVE-2026-31431 concerne un problème d’élévation des privilèges affectant le module algif_aead du noyau Linux. Pour plus d’informations, consultez : https://aws.amazon.com/security/security-bulletins/2026-026-aws/.

Services concernés :

  • Amazon Linux : les noyaux Amazon Linux 4.14, 5.4, 5.10, 5.15, 6.1, 6.12 et 6.18 sont concernés. AWS a publié des mises à jour pour Amazon Linux afin de résoudre ce problème. Nous recommandons aux clients d’appliquer les mises à jour du noyau disponibles pour leur environnement.

  • Bottlerocket : AWS a publié des mises à jour résolvant ce problème pour toutes les versions prises en charge de Bottlerocket. Les clients doivent appliquer toutes les mises à jour disponibles à leurs hôtes Bottlerocket.

  • ECS : des mises à jour résolvant ce problème pour ECS sur EC2 et les instances gérées ECS sont disponibles. Les clients doivent appliquer toutes les mises à jour disponibles.

  • EKS : des mises à jour résolvant ce problème pour les AMI optimisées pour EKS sont disponibles. Les clients doivent appliquer toutes les mises à jour disponibles.

  • EMR : AWS publiera des mises à jour pour EMR d’ici le 26/05/2026.

  • Fargate : AWS a publié des mises à jour pour les versions 1.3 et 1.4. Les clients doivent appliquer toutes les mises à jour disponibles.

  • Instances AWS Deep Learning AMI (DLAMI) : les instances AWS Deep Learning AMI sont concernées. Des AMI mises à jour résolvant ce problème pour Neuron Base, Trainium et Inferentia sont disponibles. Les clients utilisant des instances DLAMI sur EC2 doivent lancer de nouvelles instances avec la dernière version de DLAMI.

  • SageMaker :

     - Toutes les instances de bloc-notes créées ou redémarrées après le 15/05/2026 incluront automatiquement le noyau corrigé. Les clients doivent redémarrer leurs blocs-notes pour récupérer la dernière version du noyau.

     - Des correctifs pour tous les clusters HyperPod seront disponibles d’ici le 15/05/2026. Les clients devront mettre à jour le logiciel de leur cluster pour récupérer la dernière version du noyau.

     - Tous les points de terminaison d’inférence SageMaker et toutes les ressources SageMaker Studio et SageMaker Canvas créés, redémarrés ou mis à jour après le 15/05/2026 incluront le noyau corrigé. Les clients doivent redémarrer leurs applications Studio et Canvas pour récupérer la dernière version du noyau.

     - Toutes les tâches d’entraînement, de traitement et de transformation par lots SageMaker lancées après le 15/05/2026 utiliseront automatiquement le noyau corrigé. Aucune action n’est nécessaire de la part du client.

     - AWS commencera à appliquer des correctifs à toutes les ressources SageMaker existantes dès que les correctifs seront disponibles, à l’exception d’HyperPod, comme indiqué ci-dessus.


Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.