Passer au contenu principal

Mises à jour continues sur copy.fail et ses variantes

ID du bulletin : 2026-030-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 13/05/2026 à 18 h 30 (heure du Pacifique)
Date de la dernière mise à jour : 22/05/2026 à 15 h (heure du Pacifique)
 

⚠️ Il s’agit d’un problème persistant. Ce bulletin sera mis à jour à mesure que de plus amples informations seront disponibles.


Description :

AWS est au courant de la classe de problèmes « copy.fail » ou « Dirty Frag », un ensemble de problèmes d’élévation de privilèges affectant le noyau Linux. Nous mettrons à jour ce bulletin dès que nous disposerons de plus amples informations.

Veuillez consulter la chronologie actuelle des correctifs ci-dessous pour les services concernés liés au problème de noyau « copy.fail » et à toutes ses variantes. AWS recommande aux clients d’appliquer toutes les mises à jour résolvant ces problèmes dès leur disponibilité. Veuillez envoyer un e-mail à aws-security@amazon.com pour toute question ou préoccupation relative à la sécurité.
 

CVE-2026-46300 (problème également connu sous le nom de « Fragnesia »)

Le problème CVE-2026-46300 concerne une élévation de privilèges locale qui affecte le module espintcp du noyau Linux. Amazon Linux et Bottlerocket ne fournissent pas ce module et ne sont pas concernés. Pour plus d’informations, consultez le Bulletin de sécurité (ID : 2026-029-AWS).

Des mises à jour sur les services supplémentaires seront publiées dès leur disponibilité.

 

CVE-2026-43284 et CVE-2026-31431 (également connus sous le nom de « Dirty Frag » et copy.fail 2)

Les problèmes CVE-2026-43284 et CVE-2026-31431 concernent un ensemble de problèmes d’élévation de privilèges affectant un certain nombre de modules du noyau Linux, notamment xfrm_user, esp4 et esp6. Pour plus d’informations, consultez : https://aws.amazon.com/security/security-bulletins/2026-027-aws/.
 

Services concernés :

  • Amazon Linux : les noyaux Amazon Linux 4.14, 5.4, 5.10, 5.15, 6.1, 6.12 et 6.18 sont concernés. AWS a publié des mises à jour pour Amazon Linux afin de résoudre ce problème. Nous recommandons aux clients d’appliquer les mises à jour du noyau disponibles pour leur environnement.

  • Bottlerocket : AWS a publié des mises à jour corrigeant ce problème dans Bottlerocket v1.61.0. Les clients doivent appliquer toutes les mises à jour disponibles à leurs hôtes Bottlerocket.

  • ECS : des correctifs ont été appliqués dans toutes les régions. Les clients doivent appliquer toutes les mises à jour disponibles.

  • EKS : des mises à jour pour les AMI optimisées pour EKS ont été publiées. Les clients doivent appliquer toutes les mises à jour disponibles.

  • EMR : AWS publiera des mises à jour pour EMR d’ici le 26 mai 2026.

  • Fargate : des versions de plateforme incluant des correctifs seront publiées dans toutes les régions d’ici le 29 mai 2026.

  • Instances AWS Deep Learning AMI (DLAMI) : les instances AWS Deep Learning AMI sont concernées. Des AMI mises à jour pour Neuron Base, Trainium et Inferentia ont été publiées. Les clients utilisant des instances DLAMI Neuron sur EC2 doivent lancer de nouvelles instances avec la dernière version de DLAMI Neuron.

  • SageMaker : SageMaker déploie des environnements de calcul corrigés sur tous les services pour les problèmes CVE-2026-43284 et CVE-2026-43500 :

    - Toutes les instances de bloc-notes créées ou redémarrées après le 20 mai 2026 incluent automatiquement le noyau corrigé. Les clients doivent redémarrer leurs blocs-notes pour récupérer la dernière version du noyau.

    - Des correctifs seront disponibles pour tous les clusters HyperPod d’ici le 27 mai 2026. Cela obligera les clients à mettre à jour le logiciel de leur cluster pour accéder à la dernière version du noyau.

    - Le noyau corrigé sera inclus dans tous les points de terminaison d’inférence SageMaker et toutes les ressources SageMaker Studio et SageMaker Canvas créés, redémarrés ou mis à jour après le 26 mai 2026. Les clients doivent redémarrer leurs applications Studio et Canvas pour récupérer la dernière version du noyau.

    - Toutes les tâches d’entraînement, de traitement et de transformation par lots SageMaker lancées après le 2 juin 2026 utiliseront automatiquement le noyau corrigé. Aucune action n’est nécessaire de la part du client.

    - AWS commencera à appliquer des correctifs à toutes les ressources SageMaker existantes dès que les correctifs seront disponibles, à l’exception d’HyperPod, comme indiqué ci-dessus.

Aucune action du client n’est requise pour les clients de Fargate/des instances gérées ECS.

 

CVE-2026-31431 (problème également connu sous le nom de copy.fail)

Le problème CVE-2026-31431 concerne un problème d’élévation des privilèges affectant le module algif_aead du noyau Linux. Pour plus d’informations, consultez : https://aws.amazon.com/security/security-bulletins/2026-026-aws/.

Services concernés :

  • Amazon Linux : les noyaux Amazon Linux 4.14, 5.4, 5.10, 5.15, 6.1, 6.12 et 6.18 sont concernés. AWS a publié des mises à jour pour Amazon Linux afin de résoudre ce problème. Nous recommandons aux clients d’appliquer les mises à jour du noyau disponibles pour leur environnement.

  • Bottlerocket : AWS a publié des mises à jour résolvant ce problème pour toutes les versions prises en charge de Bottlerocket. Les clients doivent appliquer toutes les mises à jour disponibles à leurs hôtes Bottlerocket.

  • ECS : des mises à jour résolvant ce problème pour ECS sur EC2 et les instances gérées ECS sont disponibles. Les clients doivent appliquer toutes les mises à jour disponibles.

  • EKS : des mises à jour résolvant ce problème pour les AMI optimisées pour EKS sont disponibles. Les clients doivent appliquer toutes les mises à jour disponibles.

  • EMR : AWS publiera des mises à jour pour EMR d’ici le 26 mai 2026.

  • Fargate : AWS a publié des mises à jour pour les versions 1.3 et 1.4. Les clients doivent appliquer toutes les mises à jour disponibles.

  • Instances AWS Deep Learning AMI (DLAMI) : les instances AWS Deep Learning AMI sont concernées. Des AMI mises à jour résolvant ce problème pour Neuron Base, Trainium et Inferentia sont disponibles. Les clients utilisant des instances DLAMI sur EC2 doivent lancer de nouvelles instances avec la dernière version de DLAMI.

  • SageMaker :

    - Toutes les instances de bloc-notes créées ou redémarrées après le 15 mai 2026 incluent automatiquement le noyau corrigé. Les clients doivent redémarrer leurs blocs-notes pour récupérer la dernière version du noyau.

    - Tous les clusters HyperPod ont été corrigés. Les clients doivent appliquer toutes les mises à jour disponibles.

    - Tous les points de terminaison d’inférence SageMaker et toutes les ressources SageMaker Studio et SageMaker Canvas créés, redémarrés ou mis à jour après le 15 mai 2026 incluent le noyau corrigé. Les clients doivent redémarrer leurs applications Studio et Canvas pour récupérer la dernière version du noyau.

    - Toutes les tâches d’entraînement, de traitement et de transformation par lots SageMaker lancées après le 15 mai 2026 utilisent automatiquement le noyau corrigé. Aucune action n’est nécessaire de la part du client.


Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.