Vulnérabilité Linux Dirty Frag : recommandations VPS

Vulnérabilité Linux Dirty Frag : recommandations VPS

#BoxToPlay #Maintenance #vps
08 mai 2026
Toutes les actualités Laisser un commentaire

Vulnérabilité Linux Dirty Frag : recommandations VPS

De nouvelles vulnérabilités critiques affectant le noyau Linux, regroupées sous le nom Dirty Frag, ont été rendues publiques. L’une est suivie sous CVE-2026-43284, tandis que la seconde est encore en attente d’attribution d’un identifiant CVE. Elles permettent une élévation locale de privilèges jusqu’à root et concernent plusieurs distributions Linux, dont toutes les versions Ubuntu supportées listées par Canonical.

Décidément, les vulnérabilités d’élévation de privilèges s’enchaînent sur Linux. Plus tôt cette semaine, nous avons déjà publié une news sur la vulnérabilité Linux Copy Fail, les mesures appliquées chez BoxToPlay et les recommandations pour vos VPS.

BoxToPlay a pris les mesures nécessaires sur ses propres infrastructures administrées en interne. La mitigation recommandée par Ubuntu a déjà été déployée sur les hôtes concernés là où nous sommes responsables des systèmes. En revanche, sur les VPS de nos clients, l’application de cette mitigation et des futurs correctifs noyau reste de la responsabilité de chaque administrateur du système invité.

Ce que fait Dirty Frag

Dirty Frag regroupe en réalité deux vulnérabilités de type Local Privilege Escalation (LPE) dans des modules du noyau Linux :

  • les modules ESP (esp4 / esp6), utilisés pour IPsec/ESP (chiffrement réseau, VPN) ;
  • le module RxRPC (rxrpc), utilisé notamment par le système de fichiers distribué AFS.

En abusant de ces modules, un utilisateur local peut effectuer des écritures arbitraires dans le cache de pages du noyau et ainsi prendre le contrôle complet du système (root). Canonical évalue la sévérité à HAUTE (CVSS 3.1 : 7.8).

Dirty Frag impacte :

  • les hôtes Linux classiques (sans conteneurs) : élévation de privilèges locale vers root ;
  • les hôtes exécutant des conteneurs potentiellement non fiables : élévation de privilèges et risque potentiel supplémentaire d’échappement de conteneur.

Le risque persiste tant que les mises à jour de sécurité du noyau ne sont pas installées sur les systèmes concernés.

Mitigation temporaire recommandée par Ubuntu

En attendant les paquets noyau corrigés, Ubuntu recommande de désactiver complètement les modules vulnérables afin d’empêcher leur chargement et de les décharger s’ils sont déjà actifs.

Les étapes sont les suivantes :

  1. Bloquer le chargement futur des modules esp4, esp6 et rxrpc via modprobe.d.
  2. Régénérer l’initramfs pour éviter leur chargement lors du boot.
  3. Décharger les modules déjà chargés.
  4. Vérifier qu’aucun de ces modules n’est encore présent, et redémarrer si nécessaire.

1. Bloquer les modules via /etc/modprobe.d/dirty-frag.conf

Créez le fichier de configuration qui redirige leur chargement vers /bin/false :

echo "install esp4 /bin/false" | sudo tee /etc/modprobe.d/dirty-frag.conf
echo "install esp6 /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf
echo "install rxrpc /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf

2. Mettre à jour tous les initramfs

sudo update-initramfs -u -k all

Cette étape garantit que les modules ne pourront plus être chargés au démarrage.

3. Décharger les modules s’ils sont déjà chargés

sudo rmmod esp4 esp6 rxrpc 2>/dev/null

4. Vérifier l’état des modules

grep -qE '^(esp4|esp6|rxrpc) ' /proc/modules && echo "Affected modules are loaded" || echo "Affected modules are NOT loaded"

Exemple de sortie :

Affected modules are NOT loaded

Si les modules restent chargés (message « Affected modules are loaded »), cela signifie qu’ils sont encore utilisés par un service, par exemple un VPN IPsec ESP ou AFS. Dans ce cas, la mitigation ne sera pleinement effective qu’après un redémarrage :

sudo reboot

Important : la désactivation d’ESP impacte les VPN IPsec basés sur ESP et RxRPC, ainsi que les déploiements AFS. Si votre environnement VPS dépend de ces services, nous recommandons d’évaluer soigneusement l’impact avant d’appliquer la mitigation sur vos propres machines.

Désactiver la mitigation après mise à jour du noyau

Une fois les noyaux mis à jour vers une version corrigée et redémarrés, la mitigation temporaire peut être retirée :

sudo rm /etc/modprobe.d/dirty-frag.conf
sudo update-initramfs -u -k all

Ce que BoxToPlay a mis en place sur ses propres infrastructures

  • La mitigation Ubuntu Dirty Frag a déjà été déployée sur les hôtes concernés des infrastructures exploitées et administrées directement par BoxToPlay.
  • Surveillance active des annonces de sécurité des distributions Linux afin de préparer le déploiement rapide des noyaux corrigés dès leur disponibilité sur nos environnements concernés.
  • Lorsque cela est nécessaire, les redémarrages éventuels sont ensuite gérés de façon contrôlée afin de finaliser la protection sur nos propres systèmes.

Recommandations pour vos propres VPS

BoxToPlay ne modifie pas le système invité de vos VPS auto-administrés. Nous conseillons donc vivement aux administrateurs qui gèrent eux-mêmes leur système de :

  • appliquer la mitigation ci-dessus sur leurs distributions basées sur Ubuntu si elles exécutent des charges potentiellement non fiables ;
  • mettre à jour régulièrement le noyau dès que les correctifs officiels sont publiés ;
  • limiter l’accès shell aux comptes de confiance et renforcer les contrôles (journalisation, clés SSH, etc.).

Conclusion : sécurisez vos projets sur nos serveurs VPS

La faille Dirty Frag rappelle l’importance d’un suivi de sécurité rigoureux sur tout serveur Linux. Chez BoxToPlay, nous avons pris les mesures nécessaires sur nos propres infrastructures, mais chaque administrateur doit également sécuriser le système invité de son VPS. Si vous souhaitez tester un environnement VPS flexible, vous pouvez lancer votre serveur VPS gratuitement.

Rejoignez la discussion

Plus d’articles

🍪