Un nouveau code d’exploitation (Poc) a été publié pour PinTheft, une vulnérabilité Linux récemment patchée ! Une fois encore, cette faille de sécurité permet à un attaquant local d’obtenir les privilèges root. Quels sont les systèmes affectés ? Voici l’essentiel à savoir.
Découverte de la faille PinTheft
Découverte par l’équipe V12 Security, la vulnérabilité PinTheft n’a pas encore d’identifiant CVE officiel, mais elle fait déjà parler d’elle. Elle a été découverte au sein du module RDS (Reliable Datagram Sockets) du noyau Linux.
Bien qu’un correctif ait été déployé au début de ce mois de mai 2026, la publication de cet exploit accentue le risque pour les machines qui ne seraient pas encore à jour. Après la découverte de plusieurs failles comme Fragnesia, DirtyPipe ou encore plus récemment DirtyDecrypt, voici une raison supplémentaire de maintenir sa machine Linux à jour. En moins d’un mois, il s’agit de la 5ème faille permettant une élévation de privilèges en local sur Linux.
Selon le bulletin de sécurité publié par l’équipe V12 : “PinTheft est un exploit d’élévation de privilèges en local sur Linux correspondant à un double-free RDS zerocopy qui peut être transformé en une réécriture du page cache via des tampons fixes io_uring.”
Des détails techniques sont disponibles sur GitHub, tout comme le fichier poc.c permettant l’exploitation de cette faille de sécurité sur Linux. Mais justement, quelles sont les distributions Linux vulnérables ?
Source : GitHub
Qui est affecté par l’exploit PinTheft ?
Contrairement aux autres récents exploits découverts, celui-ci n’affecte pas la majorité des distributions Linux. On ne va pas s’en plaindre. En effet, l’exploitation de PinTheft nécessite que plusieurs conditions spécifiques soient réunies :
Le module RDS doit être chargé sur le système cible.
L’API d’E/S Linux io_uring doit être activée.
Un binaire SUID-root doit être disponible en lecture.
La charge utile incluse doit supporter l’architecture x86_64.
Ce qui élimine de nombreuses distributions, c’est justement le premier prérequis. Comme l’équipe de V12 Security, “le module de noyau RDS requis n’est activé par défaut que sur Arch Linux parmi les distributions courantes que nous avons testées.”. Arch Linux est donc directement impacté par PinTheft, car le module est activé et il peut être chargé à la demande.
Il est vivement conseillé d’installer les dernières mises à jour du noyau Linux pour vous protéger. Une autre solution consiste à bloquer complètement les tentatives d’exploitation en désactivant le module RDS sur la machine Linux.
Voici les commandes à exécuter :
rmmod rds_tcp rds
printf ‘install rds /bin/false\ninstall rds_tcp /bin/false\n’ > /etc/modprobe.d/pintheft.conf
Si vous souhaitez savoir si ce module est chargé en mémoire ou non, exécutez simplement cette commande :
lsmod | grep rds
Si la commande ne retourne rien, c’est tout bon.
J’ai effectué quelques recherches à propos du module RDS, qui est un protocole réseau. Il y a des références dans un document d’Oracle, notamment lors de l’utilisation de connexions InfiniBand et avec les infrastructures de base de données de type Oracle RAC.
Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.