Les distributions **Linux** publient des correctifs pour remédier à une vulnérabilité d'escalade de privilèges du noyau de haute gravité récemment découverte. Cette faille permet aux attaquants d'exécuter du code malveillant avec des privilèges root. ### Fragnasia : une analyse approfondie Connue sous le nom de **Fragnasia** et suivie sous la référence **CVE-2026-46300**, cette faille de sécurité découle d'un bug logique au sein du sous-système XFRM ESP-in-TCP de Linux. Cette vulnérabilité permet à des attaquants locaux non privilégiés d'obtenir des privilèges root en écrivant des octets arbitraires dans le cache de pages du noyau de fichiers en lecture seule. Le responsable de l'assurance chez **Zellic** a découvert cette nouvelle faille universelle d'escalade de privilèges locaux et a partagé une preuve de concept (PoC) d'exploit. La PoC démontre comment obtenir une primitive d'écriture en mémoire dans le noyau, qui est ensuite utilisée pour corrompre la mémoire du cache de pages du binaire `/usr/bin/su`, accordant finalement un shell avec des privilèges root sur les systèmes vulnérables. Cette faille est classée dans la catégorie des vulnérabilités **Dirty Frag**, divulguée récemment. Comme Fragnasia, Dirty Frag dispose d'un exploit PoC publiquement disponible que les attaquants locaux peuvent exploiter pour obtenir des privilèges root sur les principales distributions Linux. Dirty Frag exploite les **CVE-2026-43284** et **CVE-2026-43500**. ### Détails techniques "Fragnasia est un membre de la classe de vulnérabilités Dirty Frag. Il s'agit d'un bug distinct dans ESP/XFRM par rapport à dirtyfrag qui a reçu [son propre patch](https://lists.openwall.net/netdev/2026/05/13/79). Cependant, il se situe dans la même surface et l'atténuation est la même que pour dirtyfrag", a expliqué Bowling. "Il abuse d'un bug logique dans le sous-système XFRM ESP-in-TCP de Linux pour réaliser des écritures d'octets arbitraires dans le cache de pages du noyau de fichiers en lecture seule, sans nécessiter de condition de concurrence." html <blockquote data-media-max-width="560"><p lang="en" dir="ltr">another day, another universal linux LPE <a rel="nofollow noopener" href="https://t.co/GANYkAJwZS">https://t.co/GANYkAJwZS</a><a rel="nofollow noopener" href="https://t.co/XfzTsmg7kl">pic.twitter.com/XfzTsmg7kl</a></p> — V12 (@v12sec) </blockquote> ### Stratégies d'atténuation Pour protéger les systèmes contre d'éventuelles attaques, il est fortement conseillé aux utilisateurs Linux d'appliquer les mises à jour du noyau dès que possible. Pour les systèmes où une correction immédiate n'est pas réalisable, l'atténuation suivante, également utilisée pour Dirty Frag, peut être appliquée pour supprimer les modules du noyau vulnérables. Cependant, notez que cela perturbera les systèmes de fichiers réseau distribués AFS et les VPN IPsec : rmmod esp4 esp6 rxrpc printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf ### Une vague de vulnérabilités Linux La divulgation de Fragnasia intervient dans un contexte d'efforts de correction en cours pour "[Copy Fail](https://www.bleepingcomputer.com/tag/copy-fail/)", une autre vulnérabilité d'escalade de privilèges. La **CISA** a signalé que Copy Fail est actuellement activement exploité dans la nature. La CISA [a ajouté](https://www.cisa.gov/news-events/alerts/2026/05/01/cisa-adds-one-known-exploited-vulnerability-catalog) Copy Fail à son [catalogue de failles exploitées dans les attaques](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search=CVE-2026-32202&field_date_added_wrapper=all&field_cve=&sort_by=field_date_added&items_per_page=20&url=) le 1er mai et a ordonné aux agences fédérales de sécuriser leurs systèmes Linux dans les deux semaines, d'ici le 15 mai. Copy Fail est suivi sous la référence **CVE-2026-32202**. "Ce type de vulnérabilité est un vecteur d'attaque fréquent pour les acteurs malveillants et pose des risques importants pour l'entreprise fédérale", a averti l'agence américaine de cybersécurité. "Appliquez les atténuations conformément aux instructions du fournisseur, suivez les directives applicables de la BOD 22-01 pour les services cloud, ou cessez d'utiliser le produit si les atténuations ne sont pas disponibles." En avril, les distributions Linux ont corrigé une autre vulnérabilité d'escalade de privilèges root (baptisée Pack2TheRoot) dans le démon **PackageKit** qui était restée indétectée pendant une décennie.  ## [Le fossé de validation : les tests d'intrusion automatisés répondent à une question. Vous en avez besoin de six.](https://hubs.li/Q048zztN0) Les outils de pentesting automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)