Discuss
Curious if someone is working on the changes needed to fix https://copy.fail/ or is it just a case ‘waiting on debian to fix it’ kind of issue? (I assume it’s the latter, but figured it’d open a discussion thread just in case)
3 Likes
I wonder too. I suppose it’s prudent to follow the advice in the meantime?
For immediate mitigation, block AF_ALG socket creation via seccomp or blacklist the algif_aead module:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf
rmmod algif_aead 2>/dev/null
We’re waiting for an upstream fix: CVE-2026-31431
The fix is now available, just update your system
3 Likes
Update AND reboot, it seems. Otherwise the affected kernel will keep running.
The update of yunohost from 12.1.3.9 to 12.1.40 went well, but the diagnosis indicates an error.
Le paquet système ‘kernel’ est actuellement dans la version ‘6.1.0-48-amd64’, qui est vulnérable à un problème de sécurité MAJEUR : CVE-2026-31431, 31433, 43284 and 43500 a.k.a ‘Copy Fail’ and ‘Dirty Frag’ / CRITICAL Privilege escalations from any local user account. Il est recommandé de passer dès que possible à la version ‘{‘bookworm’: ‘6.1.170-3’, ‘trixie’: ‘6.12.86-1’}’. Plus d’informations : https://copy.fail/, GitHub - V4bel/dirtyfrag · GitHub, CVE-2026-31431, CVE-2026-31433, CVE-2026-43284, CVE-2026-43500
How do I solve this?
2 Likes
Bonjour, Pareil chez moi MAJ en 12.1.40 et j’ai l’alerte du kernel. Le kernel a été mis à jour le 15 mai en version 6.1.172-1. la version 6.1.170-3 n’est pas disponible à priori ?
1 Like
Salut,
Je pense qu’il va y avoir une nouvelle mise à jour pour corriger cette erreur.
The diagnosis check should be fixed in 12.1.40.1, cf Kernel version detection matches debian kernel version, not mainline · Issue #2803 · YunoHost/issues · GitHub
2 Likes
Bonjour,
J’obtiens le fameux message concernant l’erreur kernel lorsque j’effectue un diagnostic:
“Le paquet système ‘kernel’ est actuellement dans la version ‘4.19.171-2’, qui est vulnérable à un problème de sécurité MAJEUR : CVE-2026-31431, 31433, 43284 and 43500 a.k.a ‘Copy Fail’ and ‘Dirty Frag’ / CRITICAL Privilege escalations from any local user account. Il est recommandé de passer dès que possible à la version ‘6.1.170-3’.”
La commande: uname -a
Linux XXXX 4.19.0-14-amd64 #1 SMP Debian 4.19.171-2 (2021-01-30) x86_64 GNU/Linux
cat /proc/sys/kernel/osrelease
4.19.0-14-amd64
root@arjz:~# cat /proc/sys/kernel/version
#1 SMP Debian 4.19.171-2 (2021-01-30)
Ma version yunohost indiquée sur webadmin: Propulsé par YunoHost 12.1.40.1 (stable).
J’ai tenté apt upgrade en ssh rien n’y fait…
Que puis-je faire d’autre pour udpater le kernel ?
En vous remerciant
Alors tout d’abord, tu donnes le résultat de :
sudo dpkg -l linux* | grep ii
et le résultat de :
sudo apt policy linux-image-amd64
Merci de ton aide
root@xxxxx:~# sudo dpkg -l linux* | grep ii
ii linux-base 4.9 all Linux image base package
ii linux-image-4.19.0-14-amd64 4.19.171-2 amd64 Linux 4.19 for 64-bit PCs (signed)
ii linux-libc-dev:amd64 6.1.174-1 amd64 Linux support headers for userspace development
root@xxxxxxx:~#
~# sudo apt policy linux-image-amd64
linux-image-amd64:
Installé : (aucun)
Candidat : 6.1.174-1
Table de version :
6.1.174-1 500
500 Index of /debian-security bookworm-security/main amd64 Packages
6.1.170-3 500
500 Index of /debian bookworm/main amd64 Packages
root@xxxxxx:~#
ok nickel !
Tu es donc dans la situation où ton système n’installe pas le nouveau noyau.
Voici les commandes à exécuter :
sudo apt update
sudo apt install linux-image-amd64
:~# sudo apt install linux-image-amd64
Lecture des listes de paquets… Fait
Construction de l’arbre des dépendances… Fait
Lecture des informations d’état… Fait
Les paquets supplémentaires suivants seront installés :
linux-image-6.1.0-49-amd64
Paquets suggérés :
linux-doc-6.1 debian-kernel-handbook grub-pc | grub-efi-amd64 | extlinux
Les NOUVEAUX paquets suivants seront installés :
linux-image-6.1.0-49-amd64 linux-image-amd64
0 mis à jour, 2 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 70,3 Mo dans les archives.
Après cette opération, 410 Mo d’espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer ? [O/n]
Réception de :1 Index of /debian-security bookworm-security/main amd64 linux-image-6.1.0-49-amd64 amd64 6.1.174-1 [70,3 MB]
Réception de :2 Index of /debian-security bookworm-security/main amd64 linux-image-amd64 amd64 6.1.174-1 [1 480 B]
70,3 Mo réceptionnés en 1s (58,6 Mo/s)
Sélection du paquet linux-image-6.1.0-49-amd64 précédemment désélectionné.
(Lecture de la base de données… 77895 fichiers et répertoires déjà installés.)
Préparation du dépaquetage de …/linux-image-6.1.0-49-amd64_6.1.174-1_amd64.deb …
Dépaquetage de linux-image-6.1.0-49-amd64 (6.1.174-1) …
Sélection du paquet linux-image-amd64 précédemment désélectionné.
Préparation du dépaquetage de …/linux-image-amd64_6.1.174-1_amd64.deb …
Dépaquetage de linux-image-amd64 (6.1.174-1) …
Paramétrage de linux-image-6.1.0-49-amd64 (6.1.174-1) …
I: /vmlinuz is now a symlink to boot/vmlinuz-6.1.0-49-amd64
I: /initrd.img is now a symlink to boot/initrd.img-6.1.0-49-amd64
/etc/kernel/postinst.d/initramfs-tools:
update-initramfs: Generating /boot/initrd.img-6.1.0-49-amd64
Paramétrage de linux-image-amd64 (6.1.174-1) …
je redémarre le serveur pour vérifier
L’erreur est toujours présente dans l’onglet de dagnostic de la webadmin malgrés le reboot 
que donne à nouveau le résultat de la commande :
sudo apt policy linux-image-amd64
Et au passage, peux tu donner le résultat des commandes :
sudo cat /boot/grub/grub.cfg
ls /boot/vmlinuz-* /boot/kernel-*