AuxiNux Logo

Faille de sécurité - Dirty Frag zero-day

Actualité · Publié le 11 mai 2026

La sécurité du noyau Linux est à nouveau mise à l'épreuve avec la divulgation publique, le 7 mai 2026, d'une nouvelle classe de vulnérabilités nommée Dirty Frag. Découverte par le chercheur Hyunwoo Kim (@v4bel), cette chaîne d'exploitation permet à un utilisateur local non privilégié d'obtenir les droits root sur la quasi-totalité des distributions Linux modernes, rappelant la gravité des précédentes failles Dirty Pipe et Copy Fail.

Enjeux et CVE associés

Dirty Frag regroupe deux vulnérabilités d'écriture dans le cache de pages (Page-Cache Write) du noyau Linux, identifiées sous les identifiants CVE-2026-43284 et CVE-2026-43500. La première exploite le module xfrm-ESP, tandis que la seconde cible le module RxRPC. En chaînant ces deux failles, un attaquant peut réécrire des pages de mémoire normalement protégées, entraînant une escalade de privilèges locale (LPE) complète. L'impact réel est particulièrement critique pour les environnements cloud, où des attaquants obtiennent souvent un accès initial via des identifiants compromis, des applications vulnérables ou des conteneurs exposés.

Systèmes et noyaux touchés

La sévérité de cette chaîne de vulnérabilités est maximale compte tenu de son universalité. Les distributions et systèmes d'exploitation touchés incluent :

  • Ubuntu
  • RHEL (Red Hat Enterprise Linux)
  • Fedora
  • CentOS Stream
  • AlmaLinux
  • openSUSE

Il est important de noter que, selon Netskope, la faille CVE-2026-43284 (xfrm-ESP) n'a été corrigée que dans le noyau mainline, et que pour la CVE-2026-43500 (RxRPC), aucun correctif n'avait été fusionné dans aucune branche du noyau au moment de la divulgation.

Correctifs et mesures de mitigation

La divulgation anticipée de ces failles est due à la publication d'un exploit sur Internet avant la fin de l'embargo de sécurité. Un dépertoire de preuve de concept (PoC) est d'ailleurs disponible publiquement sur GitHub (V4bel/dirtyfrag). Face à l'absence initiale de correctifs pour la branche RxRPC, les éditeurs ont dû réagir rapidement. Canonical a ainsi annoncé la disponibilité de correctifs pour ses distributions.

Les administrateurs doivent appliquer immédiatement les mises à jour du noyau proposées par leur distribution. Si la mise à jour n'est pas possible, la désactivation ou le blocage du chargement des modules noyau vulnérables (xfrm_esp et rxrpc) constitue une mesure de mitigation indispensable pour limiter la surface d'attaque.

Sources : GitHub - V4bel/dirtyfrag, Canonical Blog, Composed, Netskope, Orca Security