De multiples vulnérabilités ont été découvertes dans le noyau Linux des systèmes d'exploitation Ubuntu, conduisant à la publication d'une série d'avis de sécurité le 22 mai 2026. Ces failles, qui touchent un large éventail de versions encore supportées, présentent un risque d'élévation de privilèges ainsi qu'un problème de sécurité dont la nature exacte n'a pas été précisée par l'éditeur.

Les vulnérabilités ont été rendues publiques à travers un avis officiel publié le 22 mai 2026. Cet avis se fonde sur douze bulletins de sécurité distincts émis par l'éditeur d'Ubuntu entre le 19 et le 21 mai 2026. Les bulletins, référencés USN-8254-3, USN-8255-3, USN-8273-1, USN-8274-1, USN-8275-1, USN-8277-1, USN-8278-1, USN-8279-1, USN-8280-1, USN-8281-1, USN-8289-1 et USN-8291-1, couvrent un grand nombre de correctifs de sécurité pour différentes branches du noyau.

Systèmes affectés

Les systèmes affectés par ces vulnérabilités incluent de nombreuses versions d'Ubuntu, des anciennes distributions bénéficiant d'un support étendu (ESM) aux versions les plus récentes. Sont concernés :

  • Ubuntu 14.04 ESM (Extended Security Maintenance)
  • Ubuntu 16.04 ESM
  • Ubuntu 18.04 ESM
  • Ubuntu 20.04 ESM
  • Ubuntu 22.04 LTS (Long Term Support)
  • Ubuntu 24.04 LTS
  • Ubuntu 25.10

Cette large couverture indique que les failles touchent des composants fondamentaux du noyau présents dans différentes branches, y compris des versions anciennes qui ne sont plus maintenues que via le programme de support étendu. Les utilisateurs de ces versions ESM doivent s'assurer qu'ils ont souscrit à ce service pour recevoir les correctifs.

Vulnérabilités référencées

Parmi les vulnérabilités référencées figurent plusieurs identifiants CVE, dont certains remontent à 2022 et 2023, ce qui suggère que des failles anciennes n'avaient pas encore été corrigées sur toutes les versions. La liste complète comprend notamment : CVE-2022-49033, CVE-2023-2640, CVE-2023-32629, CVE-2023-53421, CVE-2023-53520, CVE-2023-53662, CVE-2023-54207, CVE-2024-27388, CVE-2024-35862, CVE-2024-49938, CVE-2024-50004, CVE-2024-50008, CVE-2024-50060, CVE-2024-50142, CVE-2024-50304, CVE-2024-58096, CVE-2024-58097, ainsi que d'autres identifiants non détaillés. Chacune de ces failles a été évaluée et corrigée séparément dans les bulletins correspondants.

Risques identifiés

Le risque principal identifié par les autorités de cybersécurité est une élévation de privilèges. Cela signifie qu'un attaquant local ayant déjà un accès limité au système pourrait exploiter l'une de ces vulnérabilités pour obtenir des droits plus élevés, potentiellement jusqu'aux droits d'administration (root). Une telle compromission pourrait permettre à l'attaquant d'exécuter du code arbitraire, d'installer des programmes, ou de modifier des données système.

Un deuxième risque est mentionné comme "non spécifié par l'éditeur". Cette mention indique que l'impact exact de certaines failles n'a pas été communiqué publiquement dans le détail, ce qui est courant lorsque l'éditeur souhaite limiter les informations avant que les correctifs ne soient largement déployés. Il pourrait s'agir de risques de déni de service, de divulgation d'informations ou d'autres impacts.

Correctifs et recommandations

Pour se prémunir contre ces vulnérabilités, les administrateurs et utilisateurs d'Ubuntu sont invités à appliquer sans délai les mises à jour fournies par l'éditeur. Les correctifs sont accessibles via les canaux de mise à jour habituels du système d'exploitation, notamment la commande apt update && apt upgrade. Chaque bulletin de sécurité Ubuntu correspondant contient les instructions détaillées pour l'installation des paquets corrigés. Il est recommandé de redémarrer le système après l'application des mises à jour du noyau pour que les modifications prennent effet.

Les organisations utilisant Ubuntu dans des environnements de production doivent porter une attention particulière à cette vague de correctifs, étant donné l'étendue des versions affectées et la gravité potentielle des failles. La mise à jour régulière du noyau est une mesure de sécurité essentielle pour maintenir l'intégrité des systèmes.

Conclusion

Cette multiplication d'avis de sécurité en l'espace de trois jours témoigne d'un effort de correction coordonné de la part de l'éditeur. Les utilisateurs sont fortement encouragés à vérifier que leur système est à jour et à consulter les bulletins de sécurité pour toute information complémentaire. Les liens vers les bulletins Ubuntu sont disponibles dans les avis de sécurité officiels.