Des détails ont émergé concernant une nouvelle vulnérabilité d'escalade de privilèges locale (LPE) non corrigée qui affecte le noyau Linux. Baptisée **Dirty Frag**, elle a été [décrite](https://www.openwall.com/lists/oss-security/2026/05/07/8) comme une successeure de **Copy Fail** (CVE-2026-31431, score CVSS : 7.8), une faille LPE récemment divulguée affectant le noyau Linux et qui fait depuis l'objet d'une exploitation active sur le terrain. La vulnérabilité a été signalée aux mainteneurs du noyau Linux le 30 avril 2026. "Dirty Frag est une vulnérabilité (classe) qui permet d'obtenir des privilèges root sur la plupart des distributions Linux en chaînant la vulnérabilité xfrm-ESP Page-Cache Write et la vulnérabilité RxRPC Page-Cache Write", a déclaré le chercheur en sécurité Hyunwoo Kim (@v4bel) dans une analyse. "Dirty Frag est un cas qui étend la classe de bugs à laquelle appartiennent [Dirty Pipe](https://thehackernews.com/2022/03/researchers-warn-of-linux-kernel-dirty.html) et [Copy Fail](https://thehackernews.com/2026/04/new-linux-copy-fail-vulnerability.html). Parce qu'il s'agit d'un bug logique déterministe qui ne dépend pas d'une fenêtre temporelle, aucune condition de concurrence n'est requise, le noyau ne plante pas lorsque l'exploit échoue, et le taux de réussite est très élevé." La vulnérabilité n'a actuellement pas d'identifiant CVE, car l'embargo aurait été rompu après la publication publique d'informations détaillées et d'un exploit pour la vulnérabilité xfrm-ESP Page-Cache Write par un tiers non lié. ### Impact L'exploitation réussie de la faille pourrait permettre à un utilisateur local non privilégié d'obtenir un accès root élevé sur la plupart des distributions Linux, y compris Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10 et Fedora 44. Selon le chercheur, la vulnérabilité xfrm-ESP Page-Cache Write a été introduite dans un [commit de code source](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cac2661c53f3) effectué en janvier 2017, tandis que la vulnérabilité RxRPC Page-Cache Write a été [introduite](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=2dc334f1a63a) en juin 2023. Fait intéressant, le même commit du 17 janvier 2017 était la cause première d'un autre dépassement de tampon (CVE-2022-27666, score CVSS : 7.8) qui a affecté diverses distributions Linux. Xfrm-ESP Page-Cache Write, qui est ancré dans le sous-système IPSec (xfrm), fournit aux attaquants une primitive d'écriture de 4 octets similaire à Copy Fail et écrase une petite partie du cache de pages du noyau. Cependant, l'exploit nécessite que l'utilisateur non privilégié crée un espace de noms (namespace), une étape bloquée par **Ubuntu** via [AppArmor](https://ubuntu.com/server/docs/how-to/security/apparmor). Dans un tel environnement, xfrm-ESP Page-Cache Write ne peut pas être déclenché. C'est là qu'intervient le deuxième exploit, RxRPC Page-Cache Write. "RxRPC Page-Cache Write ne nécessite pas le privilège de créer un espace de noms, mais le module rxrpc.ko lui-même n'est pas inclus dans la plupart des distributions", a expliqué Kim. "Par exemple, la compilation par défaut de RHEL 10.1 n'inclut pas rxrpc.ko. Cependant, sur Ubuntu, le module rxrpc.ko est chargé par défaut." "En chaînant les deux variantes, les angles morts se couvrent mutuellement. Dans un environnement où la création d'espaces de noms utilisateur est autorisée, l'exploit ESP s'exécute en premier. Inversement, sur Ubuntu, où la création d'espaces de noms utilisateur est bloquée mais où rxrpc.ko est compilé, l'exploit RxRPC fonctionne." **CloudLinx**, dans un [avis](https://blog.cloudlinux.com/dirty-frag-mitigation-and-kernel-update) propre, a déclaré que la faille réside dans le "chemin rapide no-COW de MSG_SPLICE_PAGES ESP-in-UDP et est accessible via l'interface netlink utilisateur XFRM". "Le bug se trouve dans les chemins rapides de déchiffrement sur place d'esp4, esp6 et rxrpc : lorsqu'un tampon de socket transporte des fragments paginés qui ne sont pas exclusivement détenus par le noyau (par exemple, des pages de tuyau attachées via splice(2)/sendfile(2)/MSG_SPLICE_PAGES), le chemin de réception déchiffre directement sur ces pages soutenues par des données externes, exposant ou corrompant du texte clair auquel un processus non privilégié a toujours une référence", a déclaré **AlmaLinux** [ici](https://almalinux.org/blog/2026-05-07-dirty-frag/). Des avis similaires ont été publiés par d'autres distributions Linux - * [Amazon Linux](https://aws.amazon.com/security/security-bulletins/rss/2026-027-aws/) * Debian ([xfrm-ESP Page-Cache Write](https://security-tracker.debian.org/tracker/CVE-2026-43284), [RxRPC Page-Cache Write](https://security-tracker.debian.org/tracker/CVE-2026-43500)) * [Red Hat Enterprise Linux](https://access.redhat.com/security/vulnerabilities/RHSB-2026-003) * [Rocky Linux](https://forums.rockylinux.org/t/dirty-frag-vulnerability-reported-for-linux-kernel-cve-2026-43284-cve-2026-43500/20430) * [SUSE](https://www.suse.com/c/addressing-copy-fail2-aka-dirtyfrag-in-suse-virtualization/) Ajoutant à l'urgence, la publication d'une preuve de concept (PoC) fonctionnelle qui peut être exploitée pour obtenir le root en une seule commande. En attendant que les correctifs soient disponibles, il est conseillé de bloquer les modules esp4, esp6 et rxrpc afin qu'ils ne puissent pas être chargés - bash sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true" Il convient de mentionner ici que Dirty Frag, malgré certains recoupements avec Copy Fail, peut être exploité indépendamment du fait que le module algif_aead du noyau Linux soit activé ou non. "Notez que Dirty Frag peut être déclenché indépendamment de la disponibilité du module algif_aead", a déclaré le chercheur. "En d'autres termes, même sur les systèmes où la mitigation Copy Fail publiquement connue (liste noire algif_aead) est appliquée, votre Linux est toujours vulnérable à Dirty Frag." ### Mise à jour La vulnérabilité xfrm-ESP Page-Cache Write s'est vu attribuer le [CVE-2026-43284](https://nvd.nist.gov/vuln/detail/CVE-2026-43284) et a été corrigée dans la branche principale à l'adresse [f4c50a4034e6](https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f4c50a4034e6). La vulnérabilité RxRPC Page-Cache Write s'est vu attribuer l'identifiant CVE-2026-43500, bien qu'aucun correctif ne soit disponible au moment de la rédaction. "Sur les hôtes qui n'exécutent pas de charges de travail conteneurisées, la vulnérabilité permet à un utilisateur local d'élever ses privilèges à ceux de l'utilisateur root", a déclaré **Ubuntu** [ici](https://ubuntu.com/blog/dirty-frag-linux-vulnerability-fixes-available). "Dans les déploiements de conteneurs qui peuvent exécuter des charges de travail tierces arbitraires, la vulnérabilité peut en outre faciliter les scénarios d'évasion de conteneurs, en plus de l'escalade de privilèges locale sur l'hôte." Dans un avis, **Wiz**, propriété de **Google**, a décrit Dirty Frag comme une chaîne de vulnérabilités qui combine deux primitives d'écriture de cache de pages dans le noyau Linux : l'une dans le sous-système xfrm-ESP (IPsec) et l'autre dans RxRPC. "Les deux failles permettent la modification de la mémoire soutenue par le cache de pages qui n'est pas exclusivement détenue par le noyau, permettant la corruption de fichiers sensibles et finalement l'escalade de privilèges", ont déclaré les chercheurs Merav Bar et Rami McCarthy [ici](https://www.wiz.io/blog/dirty-frag-linux-kernel-local-privilege-escalation-via-esp-and-rxrpc). "Contrairement aux exploits basés sur des conditions de concurrence, cette classe de bugs est déterministe et très fiable, similaire aux vulnérabilités précédentes comme Copy Fail et Dirty Pipe." "Pour réaliser cet exploit, un attaquant a besoin de deux choses : l'accès à des interfaces de noyau vulnérables spécifiques et la capacité de manipuler des tampons soutenus par des pages (par exemple, via des chemins liés à splice()). Cependant, il existe un obstacle important : l'exploit nécessite généralement des permissions système de haut niveau, telles que CAP_NET_ADMIN. Cela signifie que l'exploitation est moins probable dans les environnements conteneurisés durcis (par exemple, Kubernetes avec des profils seccomp par défaut)." ### Exploitation limitée observée sur le terrain **Microsoft** a déclaré qu'elle observait actuellement une activité limitée sur le terrain pour obtenir une escalade de privilèges en utilisant la commande "su" (alias substitute user), qu'elle a noté "peut être indicative de techniques associées soit à 'Dirty Frag' soit à '[Copy Fail](https://kb.cert.org/vuls/id/260001)'". "La campagne montre une chronologie d'attaque séquentielle où une connexion externe obtient un accès SSH et lance un shell interactif, suivi de la mise en scène et de l'exécution d'un binaire ELF (./update) qui déclenche immédiatement une escalade de privilèges via 'su'", a ajouté **Microsoft** [ici](https://www.microsoft.com/en-us/security/blog/2026/05/08/active-attack-dirty-frag-linux-vulnerability-expands-post-compromise-risk/). Après avoir obtenu un accès élevé, les acteurs de la menace inconnus ont été trouvés en train de modifier un fichier d'authentification GLPI LDAP, d'effectuer une reconnaissance du répertoire GLPI et de la configuration du système, et d'inspecter un artefact d'exploit. Cette étape est suivie par les attaquants accédant à des données sensibles et interagissant avec plusieurs fichiers de session PHP, y compris del