Dirty Frag : faille 9 ans dans le noyau Linux révélée Dirty Frag est une faille locale du noyau Linux permettant une élévation de privilèges, révélée en mai et rapidement suivie d’un patch.
La sécurité du noyau Linux est secouée par la révélation de la faille Dirty Frag, divulguée le 7 mai. Cette vulnérabilité permet une escalade des privilèges et peut toucher la plupart des distributions, même si l’exploitation nécessite un accès local. Le débat tourne ensuite autour des correctifs et de l’embargo cassé par plusieurs tiers.
Origine et divulgation de Dirty Frag
La faille a été détectée par le chercheur indépendant Hyunwoo Kim. Bien qu’il n’ait pas prévu de divulguer l’information si tôt, l’embargo a été dépassé par d’autres acteurs, ce qui a conduit à une publication avant les correctifs. À l’époque, aucun patch n’était disponible et aucun numéro CVE n’avait été attribué.
Pour atténuer l’exploitation, certains recommandent de bloquer les modules concernés via une ligne dans /etc/modprobe.d/dirtyfrag.conf et de retirer les modules concernés, suivi d’un vidage des caches mémoire.
Hyunwoo Kim a ensuite publié un dépôt GitHub dédié et deux CVE ont été associées à cette faille : CVE-2026-43284 et CVE-2026-43500. Le score de CVE-2026-43284 est évalué à 8,8, et le vecteur d’attaque reste local (AV:L). Le second CVE est en cours d’évaluation.
Comment ça marche et ce que montrent les chiffres
Les vulnérabilités s’appuient sur la modification du page cache du noyau : le cache associé à xfrm-ESP est vulnérable depuis 2017 pour la CVE-2026-43284, et celui de RxRPC depuis 2023 pour la CVE-2026-43500. Des correctifs ont été déployés respectivement le 5 et le 10 mai dans les projets concernés.
Selon Hyunwoo Kim, la durée de vie effective de ces failles est d’environ 9 ans. Comme pour Copy Fail, le chercheur explique que la découverte de patterns similaires a mené à d’autres vulnérabilités du même type.
Évolution des réponses et patchs
Les éditeurs de distributions travaillent à l’intégration des correctifs. Debian, par exemple, a déployé des mises à jour sur certaines versions, mais le déploiement a été entravé par l’embargo et des informations partagées sur des dépôts GitHub parallèles. Le patch sur netdev a été proposé le 4 mai par Kuan-Ting Chen et intégré à la branche le 7 mai. Hyunwoo Kim a ensuite informé les équipes Linux sur linux-distros et l’embargo a été levé cinq jours plus tard, d’où les déploiements accélérés.
Ce que disent les tests et ce qu'il faut surveiller
Hyunwoo Kim publie aussi un PoC. Next a testé sur un serveur dédié virtuel chez OVHCloud avec Ubuntu 25.04 et a pu reproduire le comportement : toute personne disposant d’un compte peut devenir root. Ubuntu rappelle sur son blog que le correctif peut poser des problèmes si l’on utilise IPSec avec strongSwan, et que RxRPC peut interférer avec AFS (Andrew File System) ou d’autres applications utilisant ce protocole.
Pour terminer
Dirty Frag illustre une faille qui a vécu près d’une décennie et qui resurgit dans le noyau Linux. L’avenir dira si d’autres variantes similaires apparaissent et comment les communautés s’organisent face à ce type de vulnérabilité locale.
