Si tu utilises Linux (serveur, PC, VPS, Raspberry Pi…), tu dois lire ça tout de suite. Un nouveau zero-day nommé Dirty Frag vient d’être dévoilé et il permet à n’importe quel utilisateur local d’obtenir les droits root sur presque toutes les distributions majeures. Pas de course hasardeuse, pas de kernel panic : l’exploit est fiable, public, et déjà en circulation.
C’est quoi Dirty Frag ?
Dirty Frag est une vulnérabilité de classe qui combine deux failles dans le noyau Linux (dans les sous-systèmes xfrm-ESP et RxRPC). Elle permet de modifier directement en mémoire des fichiers protégés comme /usr/bin/su ou /etc/passwd. Résultat : un simple utilisateur sans droits peut se donner les pleins pouvoirs root.
C’est le successeur direct de Copy Fail (divulgué il y a seulement quelques semaines). Le chercheur coréen Hyunwoo Kim (@v4bel) l’a découvert fin avril 2026. L’embargo a été cassé prématurément, et le code d’exploitation est déjà public sur GitHub.
Qui est touché ?
Presque tout le monde :
- Ubuntu 24.04
- Red Hat Enterprise Linux 10
- Fedora, AlmaLinux, CentOS Stream
- openSUSE Tumbleweed
- Et la plupart des distributions basées sur des noyaux Linux depuis 2017
Si ton serveur ou ton poste de travail tourne sous Linux, il y a de très fortes chances qu’il soit vulnérable.
Pourquoi c’est particulièrement grave
Contrairement à beaucoup d’exploits qui nécessitent des conditions très précises ou qui font crasher le système, Dirty Frag est déterministe et très stable. L’exploit écrit directement dans le page cache sans provoquer d’erreur visible. Un simple script et hop… tu es root.
Le chercheur a même publié un proof-of-concept qui compile un shell root minimal directement en mémoire. Pas besoin d’écrire sur le disque, tout se passe en RAM.
Que faire tout de suite ?
- Mets à jour ton noyau dès que les distributions sortent les correctifs (la plupart sont déjà en train de les déployer).
- Applique le workaround temporaire recommandé par le chercheur : blacklister les modules algif_aead et esp4 / esp6 / rxrpc si tu ne les utilises pas.
- Surveille les annonces de sécurité de ta distribution (Ubuntu, Red Hat, Fedora…).
Si tu gères des serveurs en production, c’est le moment de prioriser ce patch. Les attaquants n’attendent pas.
Verdict
Encore un zero-day Linux qui donne root en un clic, quelques semaines seulement après Copy Fail. Ça commence à faire beaucoup, et ça montre que le noyau Linux reste une cible de choix. Les distributions réagissent vite, mais la fenêtre d’exposition est réelle.
// // COMMENTAIRES (0)