Microsoft Azure Linux : deux nouvelles vulnérabilités corrigées par des mises à jour du noyau

L'équipe gouvernementale de réponse aux incidents informatiques (CERT-FR) a publié le 25 juin 2026 un avis de sécurité identifiant deux vulnérabilités découvertes dans Microsoft Azure Linux. Ces dernières, répertoriées sous les références CVE-2026-46275 et CVE-2026-46323, affectent spécifiquement le noyau du système d'exploitation conçu pour les environnements cloud de la plateforme Azure.

Selon le document officiel, les versions du noyau azl3 antérieures à 6.6.142.1-1 sont concernées. Microsoft a diffusé les correctifs nécessaires dès le 10 juin 2026 via ses bulletins de sécurité. Le CERT-FR recommande aux administrateurs de se reporter à ces bulletins pour appliquer les mises à jour. La nature précise du risque encouru n'a pas été détaillée par l'éditeur, mais l'avis mentionne un « problème de sécurité non spécifié ».

Des vulnérabilités dans un contexte de surveillance renforcée

Cet avis s'inscrit dans une série de signalements récents concernant Microsoft Azure Linux. Depuis fin mai 2026, le CERT-FR a émis plusieurs alertes portant sur des failles de sécurité au sein de ce système d'exploitation. Le 27 mai, une vulnérabilité permettant une élévation de privilèges avait été identifiée. Le 1er juin, une faille supplémentaire avait été signalée, tandis que le 5 juin, de nouvelles vulnérabilités étaient officiellement reconnues. Le 10 juin, trois nouvelles failles avaient déjà été documentées, et une atteinte au composant edk2 avait été rapportée le 16 juin.

Ces récurrences soulignent l'attention constante portée par les autorités de cybersécurité à la sécurisation des infrastructures cloud de Microsoft. Azure Linux, distribué sous licence open source, est utilisé comme système hôte pour les charges de travail virtualisées et conteneurisées. La multiplication des avis témoigne des efforts continus de l'éditeur pour identifier et corriger les anomalies de sécurité dans ce noyau.

Déploiement des correctifs recommandé

Les administrateurs système sont invités à consulter les bulletins de sécurité de Microsoft aux adresses dédiées pour chaque vulnérabilité. Les correctifs sont inclus dans la version 6.6.142.1-1 du noyau azl3. Aucune solution de contournement n'a été fournie par l'éditeur en dehors de l'application de ces mises à jour. Le CERT-FR précise que les références CVE sont accessibles via le portail national des vulnérabilités (CVE.org).

La gestion des versions de l'avis indique que la version initiale a été diffusée le 25 juin 2026, sans mise à jour ultérieure à ce stade. Les équipes techniques sont encouragées à intégrer ces correctifs dans leurs processus de maintenance habituels afin de limiter les expositions potentielles.