Dirty Frag, c’est le nom de la nouvelle faille de sécurité critique qui affecte les machines Linux. Cette faille zero-day est similaire à Copy Fail puisqu’elle permet une élévation de privilèges en tant que root. Voici l’essentiel à savoir sur cette menace potentielle.
Dirty Frag : ça explose avant la date prévue
La vulnérabilité Dirty Frag a été découverte par le chercheur Hyunwoo Kim, qui avait initialement planifié une divulgation coordonnée pour le 12 mai 2026. Cependant, quelqu’un est parvenu à détecter des informations relatives à cette vulnérabilité, et donc tout a été publié en avance ce jeudi 7 mai 2026.
Hyunwoo Kim a pris la décision de publier tous les détails, notamment pour alerter la communauté : “Parce que l’embargo a été rompu, aucun correctif ni CVE n’existe pour ces vulnérabilités. Après consultation avec les mainteneurs de [email protected], et à la demande des mainteneurs, je publie publiquement ce document Dirty Frag.”.
Désormais, voici ce qui est disponible :
Un writeup technique complet pour présenter cette vulnérabilité dans les moindres détails,
Un code d’exploitation “universel” puisqu’il fonctionne sur de nombreuses distributions Linux.
Cela rappelle la situation avec CopyFail. Sauf que là, c’est une autre vulnérabilité : Dirty Frag. Pour le moment, il n’y a pas de référence CVE, et surtout, pas de patchs (même si cela commence à arriver).
Qu’est-ce que la vulnérabilité Dirty Frag ?
Il y a des similitudes entre Dirty Frag et deux autres failles de sécurité : CopyFail (2026) et Dirty Pipe (2022). Ce nouvel exploit repose en réalité sur deux vulnérabilités, l’une dans xfrm-ESP et l’autre dans RxRPC. À chaque fois, il s’agit d’un problème de sécurité lié à l’écriture de données dans le page cache (comme pour CopyFail). D’ailleurs, le chercheur explique que la faille CopyFail l’a motivé à effectuer ce travail de recherche.
La vulnérabilité est déclenchée lorsque le noyau Linux effectue des opérations cryptographiques “sur place”. Cette faille logique permet d’écraser directement des données en RAM. Ainsi, un utilisateur sans privilèges peut modifier à la volée le contenu de fichiers critiques du système d’exploitation, normalement restreints à une simple lecture, tels que /usr/bin/su ou /etc/passwd.
Si le chercheur a chaîné deux vulnérabilités, ce n’est pas un hasard. C’était nécessaire pour créer un exploit universel, c’est-à-dire un exploit capable de contourner les défenses spécifiques de certains systèmes (AppArmor, par exemple).
Le vecteur xfrm-ESP : cette vulnérabilité offre la capacité d’écriture arbitraire de 4 octets (similaire à ce que permettait Copy Fail). Bien qu’elle soit présente sur la plupart des distributions Linux, elle exige une condition stricte : l’attaquant doit posséder les privilèges nécessaires pour créer un namespace. Le problème pour l’attaquant, c’est que sur des environnements comme Ubuntu, la création de namespaces par des utilisateurs non privilégiés est parfois bloquée par les politiques de sécurité d’AppArmor, rendant l’attaque xfrm-ESP impossible.
Le vecteur RxRPC : c’est ici que la seconde faille entre en jeu. Contrairement à xfrm-ESP, l’attaque via RxRPC ne nécessite aucun privilège lié à la création de namespaces. Cependant, elle a aussi un défaut : le module noyau rxrpc.ko n’est pas inclus dans la grande majorité des distributions. Enfin, il y a tout de même une exception avec Ubuntu, puisque ce dernier charge ce module par défaut !
En réunissant ces deux techniques, l’exploit s’adapte à son environnement. Si la distribution autorise les namespaces mais ne possède pas RxRPC, xfrm-ESP fait le travail. Si la distribution bloque les namespaces avec AppArmor mais charge RxRPC par défaut (comme Ubuntu), la seconde méthode prend le relais. Vous l’aurez compris : l’un ou l’autre peut suffire, mais l’exploit Dirty Frag combine les deux.
D’après les informations publiées par le chercheur, Dirty Frag permet d’obtenir un accès root sur la majorité des distributions Linux. Vous voulez des noms ? Je vais vous en donner : Ubuntu 24.04.4, RHEL 10.1, CentOS Stream 10, Fedora 44, AlmaLinux 44 ou encore openSUSE Tumbleweed. En effectuant quelques recherches sur le Web, on constate rapidement que Debian est aussi affecté.
Source : GitHub – Hyunwoo Kim
Le code d’exploitation PoC est disponible sur GitHub et il prend la forme d’un fichier codé en C (exp.c).
Désormais, tout le monde va attendre une chose : les patchs officiels pour l’ensemble des distributions Linux affectées par Dirty Frag. Étant donné que la vulnérabilité fonctionne sur une machine équipée d’un noyau à jour (7.0.4), un correctif est attendu dans la version 7.0.5 du noyau Linux. Mais cela ne suffira pas, car comme pour CopyFail, il va falloir couvrir aussi les précédentes versions.
En attendant, que faire ?
Le chercheur Kim propose une solution temporaire. “Étant donné que le calendrier de divulgation responsable et l’embargo n’ont pas été respectés, aucun correctif n’est disponible pour aucune distribution. Utilisez la commande suivante pour supprimer les modules concernés par ces vulnérabilités.”, explique-t-il.
Voici la commande en question :
sh -c “printf ‘install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true”
En réalité, les modules ne sont pas supprimés. Cette commande permet de les désactiver, ou de les bloquer si vous préférez, lorsque l’exploit Dirty Frag va tenter d’en faire usage. Cette commande crée le fichier /etc/modprobe.d/dirtyfrag.conf contenant les trois lignes suivantes :
install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
Attention tout de même, la désactivation de ces modules peut avoir des effets indésirables en fonction des services exécutés sur votre serveur. À ce sujet, j’avoue ne pas trop avoir d’informations (si vous avez des retours, je suis preneur). J’ai vu un post qui parlait d’un impact potentiel sur IPSEC.
Enfin, sachez que des travaux sont en cours pour patcher cette vulnérabilité au plus vite. Par exemple, un article publié sur le blog d’AlmaLinux indique que les correctifs sont prêts à être testés.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.