Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) a publié un nouvel avis de sécurité relatifs à de multiples vulnérabilités découvertes dans le noyau Linux des distributions Debian bénéficiant d'un support à long terme (LTS). L'avis, daté du 5 juin 2026, identifie plus d'une vingtaine de failles distinctes, dont certaines présentent un niveau de criticité élevé.
Ces vulnérabilités, répertoriées sous les identifiants CVE-2024-56584, CVE-2025-39748, CVE-2025-39764, CVE-2025-40219, CVE-2025-40261, CVE-2025-68206, CVE-2025-71274, CVE-2025-71292, CVE-2025-71304, CVE-2026-23100, CVE-2026-23112, CVE-2026-23227, CVE-2026-23242, CVE-2026-23243, CVE-2026-23245, CVE-2026-23253, CVE-2026-23273, CVE-2026-23274, CVE-2026-23277, CVE-2026-23279, CVE-2026-23281, CVE-2026-23286, CVE-2026-23289, CVE-2026-23290, CVE-2026-23291, CVE-2026-23293, CVE-2026-23298, CVE-2026-23300, CVE-2026-23303, CVE-2026-23304 et CVE-2026-23307, ouvrent la voie à plusieurs types d'attaques. Selon l'analyse du CERT-FR, un assaillant peut potentiellement parvenir à une élévation de privilèges sur le système, à une atteinte à la confidentialité des données, ou encore à provoquer un déni de service. Pour certaines failles, l'éditeur n'a pas encore spécifié la nature exacte du risque encouru.
Deux branches du noyau concernées
Deux versions majeures du noyau Linux sont touchées. D'une part, la branche 5.10, qui équipe Debian 11 Bullseye dans son support LTS, est vulnérable pour toutes les versions antérieures au correctif 5.10.257-1. D'autre part, la branche 6.1, qui constitue le noyau par défaut de Debian 12 Bookworm et qui est également proposée pour Bullseye en LTS, est affectée pour toutes les versions antérieures à 6.1.174-1~deb11u1.
Cette salve de correctifs fait suite à une précédente série de mises à jour de sécurité publiées fin mai par le projet Debian LTS, auxquelles le CERT-FR avait déjà consacré un avis le 29 mai. Les bulletins de sécurité Debian LTS msg00051 et msg00052 du 29 mai 2026 constituent la référence pour l'application des rustines.
Un contexte de maintenance sécuritaire soutenu
Cet avis s'inscrit dans une séquence récente de mises en garde du CERT-FR concernant le noyau Linux. Déjà le 22 mai, l'agence avait signalé une vulnérabilité unique (CVE-2026-46333) affectant les mêmes versions LTS de Debian Bullseye, ainsi que des failles multiples pour les branches stables (Bookworm) et de test (Trixie). Le rythme des annonces témoigne d'une activité soutenue de découverte et de correction de failles dans le code source du noyau.
Les administrateurs système sont invités à appliquer sans délai les mises à jour proposées par le gestionnaire de paquets APT de Debian. Aucune solution de contournement n'a été communiquée par l'éditeur en attendant le déploiement des correctifs. Les utilisateurs de Debian Bullseye LTS doivent vérifier que leur noyau est mis à niveau vers la version 5.10.257-1 ou 6.1.174-1~deb11u1, selon la branche choisie.
