FR|EN
L'essentiel de la tech, chaque jour
FR|EN
Cybersécurité27 juin 2026· via Security Affairs

Nouvelle faille DirtyClone du noyau Linux : accès root possible – mettez à jour rapidement

Nouvelle faille DirtyClone du noyau Linux : accès root possible – mettez à jour rapidement

Image : Security Affairs

Une nouvelle faille du noyau Linux, nommée DirtyClone, permet aux attaquants d’escalader discrètement leurs privilèges jusqu’à obtenir un accès root, en manipulant la mémoire sans laisser de traces sur le disque. Découverte par JFrog Security Research, cette vulnérabilité (CVE-2026-43503), notée 8,8 sur l’échelle CVSS, est la quatrième de la famille DirtyFrag révélée en six semaines. L’exploit repose sur une faiblesse commune dans la gestion par le noyau de la mémoire liée aux fichiers et des opérations réseau, permettant des attaques de remplacement silencieux qui contournent les outils de surveillance du disque.

Une attaque silencieuse contre le noyau

DirtyClone fonctionne en trompant le noyau pour qu’il considère une mémoire liée à un fichier en lecture seule comme un tampon réseau modifiable. Un attaquant charge un binaire privilégié (comme /usr/bin/su) en mémoire et force le noyau à le cloner via un tunnel IPsec en boucle locale contrôlé. Pendant le déchiffrement, le noyau écrase la logique d’authentification du binaire avec des octets contrôlés par l’attaquant, offrant un accès root à la prochaine exécution du binaire – tandis que le fichier original sur le disque reste inchangé. L’exploit nécessite le CAP_NET_ADMIN, accessible à tout utilisateur local sur Debian et Fedora via les espaces de noms utilisateur non privilégiés par défaut.

L’héritage de la famille DirtyFrag

Il s’agit de la quatrième faille de la série DirtyFrag, après Copy Fail (CVE-2026-31431), DirtyFrag (CVE-2026-43284 et CVE-2026-43500), et Fragnesia (CVE-2026-46300). Chaque variante exploite une faille partagée dans la pile réseau concernant la gestion des tampons de socket et de la mémoire liée aux fichiers. Des correctifs ont bloqué des chemins de code spécifiques, mais la cause profonde – une défaillance systémique dans l’application des drapeaux de fragments partagés par tous les helpers de transfert de fragments – est restée non corrigée jusqu’à un correctif global intégré le 21 mai. Malgré des atténuations comme les restrictions AppArmor dans Ubuntu 24.04, la plupart des distributions restent vulnérables en l’absence de mise à jour.

Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.

Lire la source originale sur Security Affairs →

← Retour à l'accueil