Vers la page d’accueil

Vulnérabilité critique du noyau Linux CVE-2026-31431

Comment vérifier votre serveur et corriger la vulnérabilité dans le sous-système cryptographique du noyau Linux.

Une vulnérabilité critique CVE-2026-31431 a été découverte dans le sous-système cryptographique du noyau Linux (interface AF_ALG). Elle permet à un utilisateur local d'élever ses privilèges jusqu'à root.

Sur un serveur standard, cela se traduit par une élévation de privilèges non autorisée. Dans les environnements conteneurisés (Docker, Kubernetes), la vulnérabilité peut être exploitée pour s'échapper du conteneur et prendre le contrôle total du système hôte.

CentOS 7 et les distributions utilisant des branches de noyau plus anciennes ne sont pas affectées.

Vérification du serveur

Exécutez la commande suivante dans le terminal pour vérifier si votre système est vulnérable :

python3 -c "
import socket, sys
try:
    s = socket.socket(socket.AF_ALG, socket.SOCK_SEQPACKET, 0)
    s.bind(('aead', 'authencesn(hmac(sha256),cbc(aes))'))
    print('VULNERABLE')
    sys.exit(1)
except OSError as e:
    print('Not vulnerable:', e)
    sys.exit(0)
"

Si la sortie affiche VULNERABLE, votre système est affecté et nécessite une action immédiate.

Mitigation

En attendant la publication d'un correctif officiel, désactivez le module noyau concerné.

Ubuntu, Debian et systèmes similaires

# Créer une configuration de liste noire
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf

# Décharger le module s'il est actuellement chargé
rmmod algif_aead 2>/dev/null || true

Si vous utilisez Ubuntu avec les mises à jour automatiques activées (activées par défaut), vous n'avez pas besoin d'effectuer l'étape ci-dessus.

CentOS, RHEL, AlmaLinux, Rocky Linux

# Liste noire via la ligne de commande du noyau (persistante après les mises à jour)
grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"

# Redémarrer pour appliquer
reboot -h now

Après avoir appliqué le correctif temporaire, surveillez les dépôts officiels de votre distribution et installez le patch noyau dès qu'il sera disponible.

Références

Aide

Une question ou besoin d'un coup de main ? Écrivez-nous via le système de tickets — nous sommes toujours là pour vous aider !

Besoin d’aide?Nos ingénieurs vous aideront gratuitement pour n’importe quelle question en quelques minutesNous contacter