Mise à jour kernel critique (CVE-2026-31431/43500) — quelle procédure recommandée?

Support
1

What type of hardware are you using: Virtual machine
What YunoHost version are you running: 12.1.40.1
How are you able to access your server: SSH
Are you in a special context or did you perform specific tweaking on your YunoHost instance ?: no

Describe your issue

Bonjour,

Le diagnostic YunoHost remonte une vulnérabilité kernel CRITIQUE :

  • Kernel actuel : 6.1.124-1
  • Kernel requis : >= 6.1.170-3
  • CVEs : CVE-2026-31431, 31433, 43284, 43500 (“Copy Fail” / “Dirty Frag”)
  • Impact : escalade de privilèges locale

L’interface web YunoHost ne propose pas cette mise à jour. Quelle est la procédure recommandée ?

  • apt upgrade en ligne de commande est-il sûr pour le kernel ?
  • Faut-il passer par yunohost tools upgrade system ?
  • Y a-t-il un risque de casser YunoHost avec un upgrade kernel manuel ?

Infos serveur :

  • YunoHost 12.1.40.1 (stable)
  • Debian 12.14 (Bookworm)
  • voir ci-dessous

Merci !

Share relevant logs or error messages

Mot de passe :
=== KERNEL ACTUEL ===
6.1.0-30-amd64

=== KERNEL DISPONIBLE ===

=== VERSION INSTALLÉE ===
rc linux-image-4.19.0-10-amd64 4.19.132-1 amd64 Linux 4.19 for 64-bit PCs (signed)
rc linux-image-4.19.0-12-amd64 4.19.152-1 amd64 Linux 4.19 for 64-bit PCs (signed)
rc linux-image-4.19.0-19-amd64 4.19.232-1 amd64 Linux 4.19 for 64-bit PCs (signed)
rc linux-image-4.19.0-20-amd64 4.19.235-1 amd64 Linux 4.19 for 64-bit PCs (signed)
rc linux-image-4.19.0-21-amd64 4.19.249-2 amd64 Linux 4.19 for 64-bit PCs (signed)
rc linux-image-5.10.0-18-amd64 5.10.140-1 amd64 Linux 5.10 for 64-bit PCs (signed)
rc linux-image-5.10.0-19-amd64 5.10.149-2 amd64 Linux 5.10 for 64-bit PCs (signed)
rc linux-image-5.10.0-20-amd64 5.10.158-2 amd64 Linux 5.10 for 64-bit PCs (signed)
rc linux-image-5.10.0-21-amd64 5.10.162-1 amd64 Linux 5.10 for 64-bit PCs (signed)
rc linux-image-5.10.0-23-amd64 5.10.179-3 amd64 Linux 5.10 for 64-bit PCs (signed)
rc linux-image-5.10.0-32-amd64 5.10.223-1 amd64 Linux 5.10 for 64-bit PCs (signed)
rc linux-image-5.10.0-33-amd64 5.10.226-1 amd64 Linux 5.10 for 64-bit PCs (signed)
rc linux-image-6.1.0-27-amd64 6.1.115-1 amd64 Linux 6.1 for 64-bit PCs (signed)
rc linux-image-6.1.0-28-amd64 6.1.119-1 amd64 Linux 6.1 for 64-bit PCs (signed)
ii linux-image-6.1.0-30-amd64 6.1.124-1 amd64 Linux 6.1 for 64-bit PCs (signed)
rc linux-image-amd64 6.1.124-1 amd64 Linux for 64-bit PCs (meta-package)

=== CVE CONCERNÉES ===
CVE-2026-31431, CVE-2026-31433, CVE-2026-43284, CVE-2026-43500
Noms: ‘Copy Fail’ et ‘Dirty Frag’
Impact: escalade de privilèges locale (CRITIQUE)
Fix: kernel >= 6.1.170-3

=== DIAGNOSTIC YUNOHOST (section kernel) ===
usage: yunohost {diagnosis} … [-h] [–output-as {json,plain,none}] [–debug] [–quiet] [–version] [–timeout ==SUPPRESS==]
yunohost: error: unrecognized arguments: --filter

2

Il y a eu des annonces sur ce forum ici [CVE-2026-43284 "Dirty Frag"] Upgrade your system packages et ici [CVE-2026-31431] IMPORTANT: upgrade your system package qui détaillent la procédure.

En gros, via la ligne de commande :

sudo yunohost tools update

puis

sudo yunohost tools upgrade system

Via la console web, cela devrait fonctionner aussi.

Surtout ne pas oublier de rédémarrer le système, sinon la mise à jour du noyau ne sera pas appliquée.

3

Peux-tu préciser le type de machine virtuelle ? Généralement c’est le kernel de la machine hôte qui doit être mis à jour.

4

Si c’est un conteneur oui, mais si c’est une machine virtuelle, c’est surtout la machine qui fait tourner yunohost qu’il faut patcher.

En revanche, si la personne a accès à la machine hôte et a les droits, il faut effectivement aussi patcher la machine hôte.