Deux vulnérabilités critiques du noyau Linux, référencées CVE-2026-43284 et CVE-2026-43500, ont été divulguées le 8 mai 2026 sous le nom de code “Dirty Frag”. Chaînées, elles permettent à tout utilisateur local sans privilège particulier d’obtenir les droits root de façon déterministe. Des preuves de concept publiques sont disponibles et des exploitations actives ont été confirmées.
Vue d’ensemble
“Dirty Frag” désigne une classe de vulnérabilités liées à la gestion des fragments de mémoire partagée dans les sous-systèmes réseau du noyau. Les deux CVEs exploitent le même primitif : forcer un déchiffrement ESP en place sur des pages appartenant au cache du noyau, créant une primitive d’écriture arbitraire dans le cache de pages.
CVE-2026-43284 — Sous-système ESP/IPsec (xfrm)
Détails techniques
La faille réside dans les chemins d’ajout de datagrammes IPv4/IPv6. Lorsque MSG_SPLICE_PAGES attache des pages provenant d’un pipe directement à un socket buffer (skb), le protocole TCP marque ces skb avec SKBFL_SHARED_FRAG pour signaler que les pages ne sont pas privées. Or, les chemins UDP IPv4/IPv6 omettaient de positionner ce drapeau lors du splice de pages dans des skb UDP.
Résultat : des paquets ESP-in-UDP construits depuis des pages de pipe partagées apparaissent comme des skb non clonés ordinaires. Le déchiffrement ESP s’effectue alors en place sur des données non détenues en propre par le noyau, créant une primitive d’écriture dans le cache de pages.
- Type : CWE-269 — gestion incorrecte des privilèges
- Vecteur : local, complexité faible, aucune interaction utilisateur
- Score CVSS v3.1 : 7.8 (Élevé)
- Vecteur complet :
AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - Introduit : janvier 2017
CVE-2026-43500 — Sous-système RxRPC (AFS)
Détails techniques
La faille se trouve dans le sous-système RxRPC (utilisé par le protocole AFS — Andrew File System). Le gestionnaire de paquets DATA dans rxrpc_input_call_event() et le gestionnaire RESPONSE dans rxrpc_verify_response() copient les paquets vers une forme linéaire avant d’appeler les opérations de sécurité — mais uniquement lorsque le skb est cloné.
Un attaquant capable d’injecter des paquets rxrpc avec des pages de fragments partagées peut contourner la vérification de déspartage (unshare check) et déclencher un déchiffrement en place — entraînant une corruption mémoire et une élévation de privilèges vers root.
- Type : CWE-269 — gestion incorrecte des privilèges
- Vecteur : local, complexité faible, aucune interaction utilisateur
- Score CVSS v3.1 : 7.8 (Élevé)
- Vecteur complet :
AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - Introduit : juin 2023
Systèmes affectés
| Distribution | Versions affectées |
|---|---|
| Ubuntu | 20.04, 22.04, 24.04 |
| Debian | 11, 12, 13 |
| Red Hat / RHEL | 8, 9, 10 |
| Rocky Linux / AlmaLinux | 8, 9, 10 |
| Oracle Linux | 8, 9 |
| Amazon Linux | 2, 2023 |
| SUSE / openSUSE | Versions récentes |
| Fedora, CentOS Stream, Arch | Versions récentes |
| Proxmox VE | Versions récentes |
Environnements conteneurisés : les workloads en container héritent de l’exposition du noyau hôte. Tout container capable de créer des sockets AF_KEY, XFRM netlink ou AF_RXRPC peut escalader vers root sur l’hôte.
Mesures à appliquer
1. Mettre à jour le noyau (action prioritaire)
Appliquer dès que possible les noyaux corrigés via les canaux officiels de votre distribution :
# Debian / Ubuntu
apt update && apt full-upgrade
# RHEL / Rocky / AlmaLinux
dnf clean metadata && dnf upgrade
# Redémarrer impérativement après la mise à jour
reboot
2. Mitigation temporaire
Si le patch ne peut pas être appliqué immédiatement, désactiver les modules vulnérables :
echo "install esp4 /bin/false" >> /etc/modprobe.d/disable-dirty-frag.conf
echo "install esp6 /bin/false" >> /etc/modprobe.d/disable-dirty-frag.conf
echo "install rxrpc /bin/false" >> /etc/modprobe.d/disable-dirty-frag.conf
Attention : désactiver
esp4/esp6interrompt les tunnels IPsec (strongSwan, Libreswan). Ne pas appliquer sur des hôtes qui terminent ou font transiter des tunnels IPsec.
3. Espaces de noms utilisateur non privilégiés
Désactiver les espaces de noms utilisateur non privilégiés constitue une mitigation efficace pour la variante ESP/XFRM :
sysctl -w kernel.unprivileged_userns_clone=0
4. Environnements Kubernetes
Maintenir des profils seccomp renforcés et restreindre la création de sockets AF_KEY et AF_RXRPC dans les politiques de sécurité des pods.
Clients infogérés Heavy Mind
Les serveurs sous contrat d’infogérance Heavy Mind ont bénéficié d’une prise en charge immédiate. Les correctifs ont été mis en place sur l’ensemble des environnements affectés, sans action requise de votre part.
Vous n’êtes pas client infogéré ?
Heavy Mind peut vous accompagner sur ces vulnérabilités et au-delà :
- Audit de vos serveurs Linux : inventaire des noyaux exposés, analyse de votre surface d’attaque et vérification des mitigations en place
- Application des correctifs : déploiement contrôlé avec tests de non-régression
- Mise en place de supervision : détection proactive des futures vulnérabilités critiques sur votre parc
Parlons de vos besoins et construisons ensemble la solution adaptée.
Nous contacterSources : NVD CVE-2026-43284 · NVD CVE-2026-43500 · Red Hat RHSB-2026-003 · AlmaLinux Advisory — Dirty Frag · Centre canadien pour la cybersécurité AL26-011 · Wiz Blog — Dirty Frag