CVE-2026-46300 — « Fragnesia » : élévation de privilèges critique dans ESP-in-TCP

Une troisième vulnérabilité critique du noyau Linux, référencée CVE-2026-46300 et surnommée “Fragnesia”, a été divulguée le 14 mai 2026. Découverte par William Bowling de l’équipe V12, elle contourne le correctif de Dirty Frag et exploite le même primitif d’écriture dans le cache de pages. Des preuves de concept publiques sont disponibles et les patches sont disponibles depuis le 13 mai 2026.

Détails techniques

La faille se situe dans le sous-système XFRM ESP-in-TCP du noyau Linux, au sein de la fonction skb_try_coalesce().

Lorsque cette fonction rattache des fragments paginés d’un sk_buff vers un autre, elle supprime le marqueur SKBFL_SHARED_FRAG, même lorsque le buffer résultant contient encore des fragments adossés au cache de pages ou externalement détenus. Cela rompt l’invariant dont dépend le traitement ESP en entrée.

Vecteur d’exploitation : lorsqu’un socket TCP bascule en mode espintcp après que des données fichier ont déjà été splicées dans la file de réception, le noyau traite ces pages fichier en attente comme du texte chiffré ESP et les déchiffre en place. La vérification skb_has_shared_frag() — qui décide si un skb non cloné non linéaire peut contourner skb_cow_data() (copie sur écriture) — est ainsi contournée.

Un attaquant local non privilégié peut construire une séquence splice + déclencheur ULP pour transformer des valeurs IV (vecteur d’initialisation) contrôlées en une primitive d’écriture déterministe d’un octet contre le cache de pages de n’importe quel fichier lisible (ex. /usr/bin/su).

• Type : CWE-269 — gestion incorrecte des privilèges
• Vecteur : local, complexité faible, aucune interaction utilisateur
• Score CVSS v3.1 : 7.8 (Élevé)
• Vecteur complet : AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
• Découvreur : William Bowling (équipe V12)

Relation avec Dirty Frag

Fragnesia est une nouvelle variante de la classe Dirty Frag (CVE-2026-43284 / CVE-2026-43500). Elle démontre que le vecteur d’attaque initial n’était pas entièrement corrigé — le chemin ESP-in-TCP souffre du même bris d’invariant que les chemins ESP-in-UDP et RxRPC divulgués le 8 mai.

Systèmes affectés

Tous les noyaux Linux antérieurs au 13 mai 2026 sont potentiellement vulnérables.

Environnements multi-locataires et Kubernetes : la menace d’évasion de container est particulièrement critique — cette vulnérabilité permet à un workload compromis d’escalader vers root sur l’hôte.

Mesures à appliquer

1. Mettre à jour le noyau (action prioritaire)

Les noyaux corrigés sont disponibles dans les dépôts de production depuis le 13 mai 2026 :

# Debian / Ubuntu
apt update && apt full-upgrade

# RHEL / Rocky / AlmaLinux / Oracle Linux
dnf clean metadata && dnf upgrade

# Redémarrer après la mise à jour
reboot

2. Mitigation temporaire

Si le patch ne peut pas être appliqué immédiatement, désactiver le module ESP-in-TCP :

echo "install espintcp /bin/false" > /etc/modprobe.d/disable-fragnesia.conf

3. Surveillance active

Activer la journalisation des élévations de privilèges et surveiller les tentatives d’accès inhabituelles à des fichiers comme /usr/bin/su ou /etc/passwd depuis des processus non privilégiés.

Clients infogérés Heavy Mind

Les serveurs sous contrat d’infogérance Heavy Mind ont bénéficié d’une prise en charge immédiate. Les correctifs ont été déployés sur l’ensemble des environnements affectés, sans action requise de votre part.

Vous n’êtes pas client infogéré ?

Heavy Mind peut vous accompagner sur cette vulnérabilité — et au-delà :

• Audit de vos serveurs Linux : inventaire des noyaux exposés et vérification des mitigations en place
• Application des correctifs : déploiement contrôlé des mises à jour noyau avec tests de non-régression
• Mise en place de supervision : détection proactive des futures vulnérabilités critiques sur votre parc

Sources : NVD CVE-2026-46300 · AlmaLinux — Fragnesia patches released · TuxCare — Fragnesia LPE analysis · Red Hat Security · SOC Prime — Fragnesia technical details