Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) a émis le 5 juin 2026 un avis de sécurité concernant la découverte de multiples vulnérabilités touchant le système d'exploitation Microsoft Azure Linux. Cet avertissement fait suite à la publication par Microsoft de trois bulletins de sécurité distincts, datés des 27 et 29 mai 2026.

Selon l'avis du CERT-FR, les failles identifiées concernent spécifiquement les packages logiciels bzip2 et libsolv, présents dans la distribution Azure Linux. Les versions vulnérables sont respectivement azl3 bzip2 1.0.8-1 et antérieures, ainsi qu'azl3 libsolv 0.7.28-3 et versions précédentes. Les correctifs disponibles portent ces versions à 1.0.8-2 pour bzip2 et 0.7.28-4 pour libsolv.

Des vulnérabilités aux conséquences potentielles non précisées

L'organisme français ne spécifie pas la nature exacte du risque encouru par les systèmes non mis à jour. Il indique que ces vulnérabilités permettent à un attaquant de provoquer un problème de sécurité que l'éditeur n'a pas détaillé. Cette absence de précision est inhabituelle dans les avis du CERT-FR, qui mentionne généralement les types d'impact, comme l'exécution de code arbitraire ou l'élévation de privilèges.

Les identifiants CVE attribués à ces failles sont CVE-2026-9149, CVE-2026-9150 et CVE-2026-42250. Les deux premières ont fait l'objet d'un bulletin de sécurité Microsoft le 27 mai, tandis que la troisième a été traitée le 29 mai. Le CERT-FR recommande aux administrateurs de se référer aux bulletins de l'éditeur pour obtenir les correctifs et les informations détaillées sur chaque vulnérabilité.

Contexte des alertes récurrentes

Cette alerte survient dans un contexte de vigilance accrue autour de la plateforme cloud Azure. Début juin, le CERT-FR avait déjà signalé une faille de sécurité dans Azure, et fin mai, une vulnérabilité spécifiquement liée à une élévation de privilèges avait été rendue publique. Bien que ces précédentes alertes concernaient d'autres composants de l'écosystème Azure, elles témoignent d'une attention soutenue des autorités de cybersécurité sur les produits Microsoft.

Azure Linux est une distribution Linux développée par Microsoft, destinée à faire fonctionner les charges de travail dans son cloud Azure. Elle est utilisée en interne par Microsoft et mise à disposition des clients pour les conteneurs et les machines virtuelles. La sécurité de cette plateforme est critique, car elle sert de socle à de nombreux services cloud.

Recommandations aux utilisateurs

Le CERT-FR invite les organisations utilisant Microsoft Azure Linux à appliquer sans délai les mises à jour diffusées par Microsoft. Les administrateurs systèmes sont appelés à consulter les bulletins de sécurité référencés et à vérifier que leurs déploiements utilisent les versions corrigées des packages concernés. Aucune solution alternative ou mesure de contournement n'est mentionnée dans l'avis.

Cette alerte rappelle l'importance de la gestion des correctifs dans les environnements cloud, où une faille non traitée peut avoir des répercussions sur l'ensemble des services hébergés. Le CERT-FR suit de près ces développements et pourrait publier des mises à jour si de nouvelles informations sur l'impact de ces vulnérabilités sont communiquées par Microsoft.