Passa al contenuto principale

Aggiornamenti in corso su copy.fail e varianti

ID bollettino: 2026-030-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 13/05/2026 18:30 PDT
Data ultimo aggiornamento: 15/05/2026 15:45 PDT
 

⚠️ Si tratta di un problema in corso. Questo bollettino sarà aggiornato non appena saranno disponibili ulteriori informazioni.


Descrizione:

AWS è a conoscenza della classe di problemi “copy.fail” o “DirtyFrag”, una serie di problemi di escalation dei privilegi che interessa il kernel Linux. Aggiorneremo questo bollettino non appena saranno disponibili ulteriori informazioni.

Di seguito sono riportate le attuali tempistiche per l’applicazione di patch per i servizi interessati dal problema del kernel “copy.fail” e da tutte le sue varianti. AWS consiglia ai clienti di applicare tutti gli aggiornamenti volti a risolvere questi problemi non appena saranno disponibili. Per eventuali domande o dubbi sulla sicurezza, inviare un’e-mail all’indirizzo aws-security@amazon.com.
 

CVE-2026-46300 (noto anche come “Fragnesia”)

CVE-2026-46300 è un’escalation dei privilegi locali che interessa il modulo del kernel Linux espintcp. Amazon Linux e Bottlerocket non forniscono questo modulo e non sono interessati. Per ulteriori informazioni, consulta il Bollettino sulla sicurezza (ID: 2026-029-AWS).

Gli aggiornamenti sui servizi aggiuntivi saranno pubblicati non appena saranno disponibili.

 

CVE-2026-43284 e CVE-2026-31431 (noto anche come “DirtyFrag” o copy.fail 2)

CVE-2026-43284 e CVE-2026-31431 sono una serie di problemi di escalation dei privilegi che interessano diversi moduli del kernel Linux, tra cui xfrm_user, esp4 ed esp6. Per ulteriori informazioni, consulta: https://aws.amazon.com/security/security-bulletins/2026-027-aws/.
 

Servizi interessati:

  • Amazon Linux: sono interessati i kernel Amazon Linux 4.14, 5.4, 5.10, 5.15, 6.1, 6.12 e 6.18. AWS ha rilasciato aggiornamenti di Amazon Linux per risolvere questo problema. Consigliamo ai clienti ai applicare gli aggiornamenti del kernel disponibili nel proprio ambiente.

  • Bottlerocket:  le AMI Bottlerocket aggiornate saranno rilasciate entro il 19/05/2026.

  • ECS: le AMI ottimizzate per ECS che risolvono questo problema saranno rese disponibili entro il 19/05/2026.

  • EKS: gli aggiornamenti delle AMI ottimizzate per EKS saranno rese disponibili entro il 19/05/2026.

  • EMR: AWS rilascerà gli aggiornamenti per EMR entro il 26/05/2026.

  • Fargate: le versioni della piattaforma saranno rilasciate con patch entro il 25/05/2026 in tutte le Regioni.

  • AWS Deep Learning AMI (DLAMI): le AWS Deep Learning AMI sono interessate. Sono state rilasciate AMI aggiornate per Neuron Base, Trainium ed Inferentia. I clienti che utilizzano DLAMI Neuron su EC2 devono lanciare nuove istanze con la versione più recente di DLAMI Neuron.

  • Sagemaker: SageMaker sta implementando ambienti di calcolo con patch in tutti i servizi per CVE-2026-43284 e CVE-2026-43500:

     - Tutte le istanze notebook create o riavviate dopo il 20 maggio 2026 includeranno automaticamente il kernel con le patch. I clienti devono riavviare i notebook per utilizzare la versione più recente del kernel.

     - Tutti i cluster HyperPod saranno disponibili per l’applicazione delle patch entro il 20 maggio 2026. I clienti dovranno aggiornare il software del cluster per utilizzare il kernel più recente.

     - Tutti gli endpoint di inferenza SageMaker e le risorse Studio e Canvas create, riavviate o aggiornate dopo il 20 maggio 2026 includeranno il kernel con le patch. I clienti devono riavviare le app Studio e Canvas per utilizzare la versione più recente del kernel.

     - Tutti i job di addestramento, elaborazione e trasformazione in batch di SageMaker lanciati dopo il 20 maggio 2026 useranno automaticamente il kernel con le patch. Non è necessaria alcuna azione da parte del cliente.

     - AWS inizierà ad applicare le patch a tutte le risorse SageMaker esistenti non appena saranno disponibili, ad eccezione di HyperPod, come indicato in precedenza.

Non è richiesta alcuna azione da parte del cliente per Fargate o per le istanze gestite ECS.

 

CVE-2026-31431 (noto anche come copy.fail)

CVE-2026-31431 è un problema di escalation dei privilegi che interessa il modulo del kernel Linux algif_aead. Per ulteriori informazioni, consulta: https://aws.amazon.com/security/security-bulletins/2026-026-aws/.

Servizi interessati:

  • Amazon Linux: sono interessati i kernel Amazon Linux 4.14, 5.4, 5.10, 5.15, 6.1, 6.12 e 6.18. AWS ha rilasciato aggiornamenti di Amazon Linux per risolvere questo problema. Consigliamo ai clienti ai applicare gli aggiornamenti del kernel disponibili nel proprio ambiente.

  • Bottlerocket: AWS ha rilasciato degli aggiornamenti che risolvono questo problema per tutte le versioni supportate di Bottlerocket. I clienti devono applicare tutti gli aggiornamenti disponibili ai propri host Bottlerocket.

  • ECS: sono disponibili aggiornamenti che risolvono questo problema per ECS sulle istanze gestite EC2 ed ECS. I clienti devono applicare tutti gli aggiornamenti disponibili.

  • EKS: sono disponibili aggiornamenti che risolvono questo problema per le AMI ottimizzate per EKS. I clienti devono applicare tutti gli aggiornamenti disponibili.

  • EMR: AWS rilascerà gli aggiornamenti per EMR entro il 26/05/2026.

  • Fargate: AWS ha rilasciato aggiornamenti per le versioni 1.3 e 1.4. I clienti devono applicare tutti gli aggiornamenti disponibili.

  • AWS Deep Learning AMI (DLAMI): le istanze AWS Deep Learning AMI sono interessate. Sono disponibili AMI che risolvono questo problema per Neuron Base, Trainium e Inferentia. I clienti che utilizzano DLAMI su EC2 devono lanciare nuove istanze con le versioni più recenti di DLAMI.

  • Sagemaker:

     - Tutte le istanze notebook create o riavviate dopo il 15/05/2026 includeranno automaticamente il kernel con le patch. I clienti devono riavviare i notebook per utilizzare la versione più recente del kernel.

     - Tutti i cluster Hyperpod saranno disponibili per l’applicazione delle patch entro il 15/05/2026. Ai clienti verrà richiesto di aggiornare il software del cluster per utilizzare il kernel più recente.

     - Tutti gli endpoint di inferenza SageMaker e le risorse Studio e Canvas create, riavviate o aggiornate dopo il 15/05/2026 includeranno il kernel con le patch. I clienti devono riavviare le app Studio e Canvas per utilizzare la versione più recente del kernel.

     - Tutti i job di addestramento, elaborazione e trasformazione in batch di SageMaker lanciati dopo il 15/05/2026 useranno automaticamente il kernel con le patch. Non è necessaria alcuna azione da parte del cliente.

     - AWS inizierà ad applicare le patch a tutte le risorse SageMaker esistenti non appena saranno disponibili, ad eccezione di HyperPod, come indicato in precedenza.


Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.