Qualys a divulgué le 20 mai 2026 une vulnérabilité dans le noyau Linux sous la référence CVE-2026-46333, surnommée “ssh-keysign-pwn”. Présente depuis novembre 2016, elle permet à tout utilisateur local sans privilège de lire les clés SSH privées de l’hôte et la base de mots de passe /etc/shadow, et d’exécuter des commandes arbitraires en tant que root. Des exploits publics circulent.
Détails techniques
La faille réside dans la fonction __ptrace_may_access() du noyau Linux. Elle exploite une race condition lors de la phase de sortie d’un processus :
Au moment où un processus se termine, il existe une fenêtre temporelle entre l’instant où son descripteur mémoire (mm_struct) est détaché et l’instant où sa table de descripteurs de fichiers est fermée. Pendant cette fenêtre, la vérification de traçabilité (dumpable safeguard) de ptrace est sautée — le descripteur mémoire est déjà NULL, ce qui désactive la protection.
Un processus non privilégié peut alors appeler pidfd_getfd(2) — interface introduite dans Linux 5.6 — pour copier les descripteurs de fichiers ouverts du processus en cours de sortie, y compris ceux ouverts par des binaires SUID root.
Les cibles privilégiées sont :
ssh-keysign: ouvre les clés privées SSH de l’hôte (/etc/ssh/*_key) lors de son chemin de sortie normalchage: ouvre la base de mots de passe (/etc/shadow) lors de son exécution
Un attaquant local peut ainsi lire ces fichiers en clair et, en réinjectant les clés compromises, exécuter des commandes arbitraires en tant que root.
- Type : CWE-362 — race condition / logique d’accès incorrecte dans ptrace
- Vecteur : local, complexité faible, aucune interaction utilisateur
- Score CVSS v3.1 : 5.5 (Moyen)
- Vecteur complet :
AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N - Introduit : novembre 2016 (v4.10-rc1) — présent depuis 9 ans
- Découvreur : Qualys
Systèmes affectés
Tous les noyaux Linux compilés entre novembre 2016 et mai 2026 sont potentiellement vulnérables. Les correctifs sont disponibles dans les versions :
Linux kernel ≥ 7.0.8
Linux kernel ≥ 6.18.31
Linux kernel ≥ 6.12.89
Linux kernel ≥ 6.6.139
Linux kernel ≥ 6.1.173
Linux kernel ≥ 5.15.207
Linux kernel ≥ 5.10.256
| Distribution | Versions affectées |
|---|---|
| Ubuntu | 20.04, 22.04, 24.04 |
| Debian | 11, 12, 13 |
| Red Hat / RHEL | 8, 9, 10 |
| Rocky Linux / AlmaLinux | 8, 9, 10 |
| Oracle Linux | 8, 9 |
| Amazon Linux | 2, 2023 |
| CloudLinux | Versions récentes |
| Fedora, Arch, openSUSE | Versions récentes |
Mesures à appliquer
1. Mettre à jour le noyau (action prioritaire)
# Debian / Ubuntu
apt update && apt full-upgrade
# RHEL / Rocky / AlmaLinux / Oracle Linux
dnf clean metadata && dnf upgrade
# Redémarrer après la mise à jour
reboot
2. Mitigation temporaire
Si le patch ne peut pas être appliqué immédiatement, élever le niveau de restriction ptrace :
sysctl -w kernel.yama.ptrace_scope=2
Note : la valeur
2restreint ptrace aux seuls processus disposant deCAP_SYS_PTRACE. Cela peut affecter certains outils de débogage (gdb,strace). Tester en environnement de préproduction avant de déployer en production.
Pour rendre la modification persistante :
echo "kernel.yama.ptrace_scope = 2" >> /etc/sysctl.d/99-ptrace.conf
sysctl -p /etc/sysctl.d/99-ptrace.conf
3. Rotation des clés SSH
Si le patch ne peut être appliqué sans délai, envisager une rotation préventive des clés SSH de l’hôte sur les serveurs critiques exposés à des utilisateurs locaux non maîtrisés.
Contexte : quatrième vulnérabilité critique en trois semaines
CVE-2026-46333 est la quatrième vulnérabilité critique du noyau Linux divulguée en moins d’un mois, après CVE-2026-31431, Dirty Frag et Fragnesia. Contrairement aux trois précédentes — qui exploitaient des primitives d’écriture dans le cache de pages — ssh-keysign-pwn est une race condition dans le sous-système ptrace, d’une classe entièrement différente.
Clients infogérés Heavy Mind
Les serveurs sous contrat d’infogérance Heavy Mind ont bénéficié d’une prise en charge immédiate. Les correctifs ont été déployés sur l’ensemble des environnements affectés, sans action requise de votre part.
Vous n’êtes pas client infogéré ?
Heavy Mind peut vous accompagner sur cette vulnérabilité — et au-delà :
- Audit de vos serveurs Linux : inventaire des noyaux exposés, vérification de la configuration ptrace et analyse des binaires SUID présents
- Application des correctifs : déploiement contrôlé avec tests de non-régression
- Rotation des secrets : assistance à la rotation des clés SSH et vérification de l’intégrité de
/etc/shadow - Mise en place de supervision : détection proactive des futures vulnérabilités critiques sur votre parc
Parlons de vos besoins et construisons ensemble la solution adaptée.
Nous contacterSources : Qualys — CVE-2026-46333 · NVD CVE-2026-46333 · Ubuntu Security · Red Hat Security · AlmaLinux — ssh-keysign-pwn patches · The Hacker News