Aller au contenu

The most severe Linux threat to surface in years catches the world flat-footed

CopyFail threatens multi-tenant servers, CI/CD work flows, Kubernetes containers, and more.

schedule 20:20 visibility 15 vues
The most severe Linux threat to surface in years catches the world flat-footed
Source: Ars Technica

Publicly released exploit code for an effectively unpatched vulnerability that gives root access to virtually all releases of Linux is setting off alarm bells as defenders scramble to ward off severe compromises inside data centers and on personal devices.

The vulnerability and exploit code that exploits it were released Wednesday evening by researchers from security firm Theori, five weeks after privately disclosing it to the Linux kernel security team. The team patched the vulnerability in versions 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204, and 5.10.254) but few of the Linux distributions had incorporated those fixes at the time the exploit was released.

A single script hacks all distros

The critical flaw, tracked as CVE-2026-31431 and the name CopyFail, is a local privilege escalation, a vulnerability class that allows unprivileged users to elevate themselves to administrators. CopyFail is particularly severe because it can be exploited with a single piece of exploit code—released in Wednesday’s disclosure—that works across all vulnerable distributions with no modification. With that, an attacker can, among other things, hack multi-tenant systems, break out of containers based on Kubernetes or other frameworks, and create malicious pull requests that pipe the exploit code through CI/CD work flows.

Read full article

Comments

newspaper

Originally published at

Ars Technica

open_in_new Read Full Article

Articles connexes

Lire la suite

EN DIRECT, guerre au Moyen-Orient : l’Iran assure qu’il ne négociera pas tant que le blocus maritime américain se poursuivra, après l’annulation de la venue au Pakistan des émissaires de Donald Trump
Automobile

EN DIRECT, guerre au Moyen-Orient : l’Iran assure qu’il ne négociera pas tant que le blocus maritime américain se poursuivra, après l’annulation de la venue au Pakistan des émissaires de Donald Trump

Le président américain a évoqué une réunion avec l’Iran prévue pour « mardi » au Pakistan, après avoir annoncé, samedi soir, l’annulation du déplacement de Steve Witkoff et Jared Kushner à Islamabad pour des pourparlers. Selon l’agence de presse...

Le Monde
EN DIRECT, guerre au Moyen-Orient : l’Iran menace d’une riposte si le blocus américain se poursuit ; les émissaires américains attendus à Islamadab, sans garantie de rencontre avec les Iraniens
Automobile

EN DIRECT, guerre au Moyen-Orient : l’Iran menace d’une riposte si le blocus américain se poursuit ; les émissaires américains attendus à Islamadab, sans garantie de rencontre avec les Iraniens

Selon Téhéran, Washington « cherche un moyen de sauver la face pour s’extraire du bourbier » de la guerre, assurant qu’ « aucune rencontre n’est prévue entre l’Iran et les Etats-Unis ». Vendredi, la Maison Blanche a assuré que Steve Witkoff et Jared...

Le Monde