Vulnérabilité Dirty Frag (CVE-2026-43284, CVE-2026-43500)

Le 7 mai 2026, le chercheur Hyunwoo Kim a rendu publique une vulnérabilité critique du noyau Linux baptisée Dirty Frag. Elle permet à n'importe quel utilisateur local non privilégié — ou à un processus s'exécutant dans un conteneur — d'obtenir un accès root complet sur le système hôte.

Un exploit public fonctionnel circule déjà. Cette situation requiert votre attention dès aujourd'hui.

Qu'est-ce que Dirty Frag

La vulnérabilité se trouve dans le code de déchiffrement en fast-path pour IPsec ESP et rxrpc. Lorsqu'un tampon socket transporte des fragments paginés qui ne sont pas en possession exclusive du noyau (par exemple, des pages attachées via splice(2), sendfile(2) ou MSG_SPLICE_PAGES), le noyau déchiffre les données directement sur ces pages à gestion externe — exposant ou corrompant ainsi du texte en clair auquel un processus non privilégié détient encore une référence.

Dirty Frag est en réalité la combinaison de deux bogues distincts :

• CVE-2026-43284 — affecte IPsec ESP (esp4 / esp6), présent dans toutes les distributions majeures depuis 2017
• CVE-2026-43500 — affecte rxrpc, pertinent uniquement sur les systèmes où le paquet kernel-modules-partner est installé

Qui est concerné

La vulnérabilité est présente dans tous les noyaux Linux modernes prenant en charge xfrm/ESP :

• AlmaLinux 8, 9, 10
• Rocky Linux, RHEL et dérivés
• Ubuntu, Debian et dérivés

Elle est particulièrement dangereuse sur les serveurs dédiés et les environnements conteneurisés (Docker, LXC, Kubernetes) — elle peut être exploitée pour s'échapper d'un conteneur et compromettre l'hôte.

Étape 1. Mitigation immédiate

Si une mise à jour et un redémarrage immédiats ne sont pas envisageables, bloquez les modules noyau vulnérables. Cette opération est sans risque sur la plupart des serveurs qui n'utilisent pas activement le mode transport IPsec ou AFS :

echo 'install esp4 /bin/false'  | sudo tee    /etc/modprobe.d/dirtyfrag.conf
echo 'install esp6 /bin/false'  | sudo tee -a /etc/modprobe.d/dirtyfrag.conf
echo 'install rxrpc /bin/false' | sudo tee -a /etc/modprobe.d/dirtyfrag.conf
sudo rmmod esp4 esp6 rxrpc 2>/dev/null

Purgez ensuite le cache de pages pour expulser toute page potentiellement altérée :

sudo sh -c 'echo 3 > /proc/sys/vm/drop_caches'

N'appliquez pas cette mesure si votre serveur utilise activement IPsec ESP ou AFS/rxrpc — ces services cesseront de fonctionner. Dans ce cas, priorisez l'application du correctif et le redémarrage aussi rapidement que possible.

Pour annuler la liste noire des modules ultérieurement :

sudo rm /etc/modprobe.d/dirtyfrag.conf

Étape 2. Mettre à jour le noyau

Dès qu'un noyau corrigé est disponible pour votre distribution, effectuez la mise à jour et redémarrez.

AlmaLinux (correctif disponible dès maintenant dans le dépôt testing) :

sudo dnf install -y almalinux-release-testing
sudo dnf update 'kernel*' --enablerepo=almalinux-testing
sudo reboot

Versions du noyau corrigées :

• AlmaLinux 8 : kernel-4.18.0-553.123.2.el8_10 ou ultérieur
• AlmaLinux 9 : kernel-5.14.0-611.54.3.el9_7 ou ultérieur
• AlmaLinux 10 : kernel-6.12.0-124.55.2.el10_1 ou ultérieur

Ubuntu / Debian :

sudo apt update && sudo apt upgrade linux-image-generic
sudo reboot

Rocky Linux / RHEL :

sudo dnf update kernel
sudo reboot

Après le redémarrage, vérifiez que le nouveau noyau est bien actif :

uname -r

Vérification de l'exposition à rxrpc

CVE-2026-43500 ne s'applique que si le paquet kernel-modules-partner est installé. Vérifiez avec :

rpm -q kernel-modules-partner

Si le paquet n'est pas installé, vous n'êtes pas concerné par CVE-2026-43500.

Références

• NVD : CVE-2026-43284
• Debian Security Tracker
• AlmaLinux Blog
• Divulgation publique sur oss-security
• Write-up du chercheur
• Correctif upstream ESP
• Correctif rxrpc sur netdev