Dirty Frag (CVE-2026-43284) : LPE Linux kernel critique - ce que vous devez faire maintenant
CVSS 7.8 HIGH - root en une commande sur toutes les distributions majeures - patch partiel disponible, mitigation immédiate possible.
Action requise - systèmes Linux non patchés exposés
Dirty Frag a été divulguée le 7 mai 2026 avec un PoC public fonctionnel. Tout utilisateur local non privilégié peut obtenir root. Les patches sont partiels (CVE-2026-43500 non corrigé à ce jour). La mitigation par blacklist de modules est disponible immédiatement, sans redémarrage.
Le 7 mai 2026, le chercheur Hyunwoo Kim a divulgué deux vulnérabilités d'élévation de privilèges locales dans le noyau Linux, collectivement appelées "Dirty Frag". Avec un score CVSS de 7.8 (HIGH) et un exploit public qui donne root en une seule commande, elles affectent toutes les distributions Linux majeures - certaines depuis plus de 9 ans sans que personne ne l'ait détecté.
Cet article détaille le mécanisme technique accessible à un public non-kernel, les distributions affectées, la mitigation immédiate à appliquer et le statut des patches officiels par distribution. Il sera mis à jour au fil des publications des éditeurs.
1. La famille "Dirty" : Dirty COW, Dirty Pipe, et maintenant Dirty Frag
Le suffixe "Dirty" dans les noms de vulnérabilités Linux désigne des failles qui exploitent une corruption ou une manipulation non autorisée de pages mémoire partagées dans le noyau. C'est une catégorie redoutable car ces failles sont souvent présentes depuis des années avant leur découverte, et l'exploitation locale ne laisse généralement pas de traces évidentes dans les logs système.
La famille Dirty - 10 ans de LPE Linux
| Vulnérabilité | CVE | CVSS | Mécanisme | PoC public |
|---|---|---|---|---|
| Dirty COW | CVE-2016-5195 | 7.2 | Race condition copy-on-write | Oui |
| Dirty Pipe | CVE-2022-0847 | 7.8 | Ecriture pages read-only via pipe | Oui |
| Dirty Frag | CVE-2026-43284 + CVE-2026-43500 | 7.8 | Dechiffrement in-place sur pages partagees | Oui - actif |
2. Comment fonctionne Dirty Frag - le mécanisme expliqué simplement
Sans entrer dans le code kernel, voici comment comprendre la faille. Certains appels système Linux (splice(2), sendfile(2), MSG_SPLICE_PAGES) permettent d'attacher des pages mémoire appartenant à un processus utilisateur à un socket réseau, pour éviter une copie inutile. C'est une optimisation de performance légitime.
Le problème : quand ces pages "prêtées" passent par le chemin de déchiffrement rapide des modules IPsec (esp4/esp6) ou rxrpc, le noyau déchiffre le trafic directement sur ces pages - sans vérifier qu'elles appartiennent exclusivement au noyau. Le processus utilisateur qui a prêté ces pages conserve une référence valide et peut lire le résultat du déchiffrement, ou pire, faire en sorte que le noyau écrive du contenu arbitraire dans des zones mémoire protégées.
Schéma du vecteur d'exploitation
CVE-2026-43284 - esp4/esp6
- - Modules IPsec (VPN, tunnels chiffrés)
- - Exploitable depuis commit cac2661c53f3 (jan 2017)
- - 9 ans dans tous les kernels mainline
- - Patch disponible : commit f4c50a4034e6
- - Packages distros en cours de déploiement
CVE-2026-43500 - rxrpc
- - Module RxRPC (AFS, protocole Andrew)
- - Exploitable depuis commit 2dc334f1a63a (juin 2023)
- - Affecte AlmaLinux 9/10, Ubuntu 22.04+
- - Aucun patch dans aucun arbre au 8 mai 2026
- - Mitigation par blacklist obligatoire
Ubuntu et plusieurs chercheurs ont confirmé que la chaîne des deux CVE peut, dans certaines configurations, permettre une évasion de conteneur. Les environnements Kubernetes, Docker et OpenShift doivent être traités avec la même priorité que les serveurs bare-metal.
3. Mitigation immédiate - sans attendre le patch, sans redémarrage
La bonne nouvelle : bloquer les trois modules kernel suffit à éliminer la surface d'attaque. La mitigation ne nécessite pas de redémarrage. L'inconvénient : elle désactive l'IPsec/VPN kernel et le support AFS tant que les modules sont blacklistés. Evaluez l'impact sur votre infrastructure avant d'appliquer.
Mitigation universelle (toutes distributions)
Blacklist les 3 modules et les décharge immédiatement s'ils sont actifs :
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' \
> /etc/modprobe.d/dirtyfrag.conf; \
rmmod esp4 esp6 rxrpc 2>/dev/null; \
true"Vérifier que les modules ne sont plus chargés :
grep -E '^(esp4|esp6|rxrpc) ' /proc/modules && echo "ATTENTION : modules encore actifs" || echo "OK : modules non charges"Ubuntu / Debian - mise à jour du ramdisk
En complément, régénérer l'initramfs pour que la blacklist soit active dès le boot :
echo "install esp4 /bin/false" | sudo tee /etc/modprobe.d/dirty-frag.conf
echo "install esp6 /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf
echo "install rxrpc /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf
sudo update-initramfs -u -k all
sudo rmmod esp4 esp6 rxrpc 2>/dev/nullVider le page cache (recommandé post-mitigation)
Éliminé les données potentiellement exposées en mémoire :
sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'Cette opération est sans impact sur les processus en cours mais provoque une légère hausse des miss cache dans les secondes qui suivent.
Si vous utilisez IPsec/VPN kernel : la blacklist d'esp4/esp6 interrompra vos tunnels VPN basés sur le kernel (strongSwan, Libreswan en mode kernel). Les VPN basés sur WireGuard ou OpenVPN en espace utilisateur ne sont pas affectés. Planifiez une fenêtre de maintenance si cette désactivation est critique pour votre infrastructure.
4. Statut des patches officiels par distribution
La situation évolue rapidement. Ce tableau reflète l'état au 8 mai 2026 - consultez les bulletins de sécurité de votre distribution pour les mises à jour.
| Distribution | CVE-2026-43284 (esp) | CVE-2026-43500 (rxrpc) | Source officielle |
|---|---|---|---|
| AlmaLinux 8 | Testing (kernel-4.18.0-553.123.2) | N/A (rxrpc absent) | AlmaLinux Blog |
| AlmaLinux 9 | Testing (kernel-5.14.0-611.54.3) | Pas de patch | AlmaLinux Blog |
| AlmaLinux 10 | Testing (kernel-6.12.0-124.55.2) | Pas de patch | AlmaLinux Blog |
| Ubuntu (toutes LTS) | En cours (USN à venir) | Pas de patch | Ubuntu Blog |
| RHEL 8/9/10 | RHSA en préparation | Pas de patch | Red Hat RHSB-2026-003 |
| Amazon Linux | Bulletin en cours | Pas de patch | AWS Security Bulletin |
| Kernel mainline | Patche (commit f4c50a4034e6) | Pas de patch | kernel.org |
CloudLinux propose un kernel module de mitigation en live-patch (sans redémarrage) pour ses clients via KernelCare. Si vous êtes hébergé chez un fournisseur utilisant CloudLinux (cPanel, WHM), renseignez-vous auprès de votre hébergeur sur l'application de ce live-patch. Source : CloudLinux Blog.
5. Impact concret pour les entreprises françaises
Dirty Frag est une LPE (Local Privilège Escalation), ce qui signifie qu'un attaquant doit d'abord obtenir un accès local non privilégié avant d'exploiter la faille. Cela ne la rend pas moins dangereuse - c'est souvent la deuxième étape d'une chaîne d'attaque, après une RCE (Remote Code Exécution) ou une compromission de compte.
Serveurs web et applicatifs multi-utilisateurs
Sur un serveur hébergeant plusieurs applications ou clients (hébergement mutualisé, SaaS multi-tenant), un utilisateur compromis peut escalader vers root et accéder aux données de tous les autres locataires. Priorité maximale.
Environnements Kubernetes et Docker
Le scénario d'évasion de conteneur est confirmé dans certaines configurations. Un conteneur compromis peut potentiellement obtenir des privilèges sur le nœud hôte. Appliquez la mitigation sur les nœuds Kubernetes workers en priorité.
VPS et serveurs cloud (OVH, Scaleway, Hetzner)
Les VPS Linux non patchés sont directement exposés si un attaquant obtient un accès SSH ou exploite une autre faille applicative. La blacklist des modules doit être appliquée avant la disponibilité des kernels patchés.
Postes de travail Linux et stations de développement
Risque plus limité (accès physique requis), mais dans un contexte où des développeurs partagent des machines ou accèdent via SSH à des environnements de dev communs, le risque d'escalade latérale existe.
FAQ - Dirty Frag CVE-2026-43284
Qu'est-ce que la vulnérabilité Dirty Frag ?
Dirty Frag est le nom de deux vulnérabilités d'élévation de privilèges locales dans le noyau Linux : CVE-2026-43284 (modules esp4/esp6, IPsec) et CVE-2026-43500 (module rxrpc). Avec un CVSS de 7.8 (HIGH) et un exploit public, elles permettent à tout utilisateur local non privilégié d'obtenir les droits root sur les systèmes Linux non mitigés.
Quelles distributions Linux sont affectées ?
Toutes les distributions majeures sont affectées : Ubuntu (14.04 LTS jusqu'à 26.04 LTS), Red Hat Enterprise Linux 8/9/10, AlmaLinux 8/9/10, Amazon Linux, et toute distribution basée sur un noyau Linux depuis janvier 2017 (CVE-2026-43284) ou juin 2023 (CVE-2026-43500).
Comment mitiger Dirty Frag sans redémarrer ?
En blacklistant les modules esp4, esp6 et rxrpc pour empêcher leur chargement et en les déchargeant s'ils sont actifs. La commande universelle est fournie dans la section 3 de cet article. Cette mitigation est immédiate mais désactive l'IPsec/VPN kernel le temps de l'application du patch officiel.
Y a-t-il un patch disponible pour CVE-2026-43500 (rxrpc) ?
Non. Au 8 mai 2026, CVE-2026-43500 n'a pas de patch dans aucun arbre de code - ni mainline ni distributions. La blacklist du module rxrpc est la seule mitigation disponible. Les patches pour CVE-2026-43284 (esp4/esp6) sont en testing sur AlmaLinux et en cours de préparation sur Ubuntu et RHEL.
Dirty Frag peut-il permettre une évasion de conteneur Docker/Kubernetes ?
Oui, dans certaines configurations. Ubuntu et plusieurs chercheurs ont confirmé des scénarios d'évasion de conteneur exploitant la chaîne CVE-2026-43284 + CVE-2026-43500. Les environnements Kubernetes, Docker et OpenShift doivent appliquer la mitigation avec la même urgence que les serveurs bare-metal.
Sources et références
Cet article s'appuie exclusivement sur des sources primaires officielles. Les informations seront mises à jour au fil des publications des éditeurs.
Divulgation officielle avec commandes de mitigation et versions patchées pour AlmaLinux 8/9/10. Source primaire.
Bulletin de sécurité Red Hat pour RHEL 8/9/10 et OpenShift 4. En cours de mise à jour.
Analyse Canonical : CVSS 7.8, distributions Ubuntu affectées, commandes de mitigation et update-initramfs.
Analyse de l'exploit public et de l'impact sur les distributions majeures.
Live-patch KernelCare et mitigation pour environnements hébergés CloudLinux.
Commit f4c50a4034e6 - correctif pour le variant esp4/esp6 dans le netdev tree.
Votre infrastructure Linux est-elle exposée à Dirty Frag ?
Nos équipes certifiées OSCP/OSEP peuvent auditer votre exposition à Dirty Frag et aux vulnérabilités LPE récentes, vérifier l'application des mitigations et vous accompagner sur le patch management. Premier échange de 30 minutes offert, réponse sous 24h.