Un unique caractère erroné dans le noyau Linux ouvre une faille d'élévation de privilèges

Une faille de sécurité d'un niveau de gravité élevé, référencée sous le code CVE-2026-23111, affecte le noyau Linux et permet à un attaquant local d'élever ses privilèges jusqu'au compte root. L'origine de cette vulnérabilité est pour le moins singulière : un seul caractère mal placé dans le code source du sous-système nf_tables, chargé du filtrage de paquets et de la gestion des règles de pare-feu.

Ce caractère erroné, un point d'exclamation mal positionné, a introduit une faille de type « use-after-free » (utilisation après libération). Ce type de vulnérabilité corrompt la mémoire en permettant à du code malveillant d'être exécuté à des adresses mémoire dont le contenu précédent n'a pas été correctement effacé. Un processus sans privilèges peut ainsi exploiter ce défaut pour obtenir un accès root complet sur le système.

Mécanisme de l'exploitation

La faille réside dans la gestion des « verdicts » au sein de nf_tables, qui déterminent l'action à appliquer lorsqu'un paquet correspond à une règle. Lors de la suppression d'une table de verdicts en mémoire, des éléments dits « catchall » (joker) sont désactivés et le compteur de références d'une chaîne est décrémenté. En cas d'erreur, le processus peut être inversé et le compteur réincrémenté. Or, le bogue permet de décrémenter cette variable un nombre arbitraire de fois, puis de supprimer et de libérer la chaîne alors que certains objets pointent encore vers elle, ouvrant la voie à l'exécution de code arbitraire.

Exploits publics et systèmes ciblés

Des chercheurs en sécurité ont démontré la faisabilité de l'attaque sur les distributions Debian et Ubuntu. La firme Exodus Intelligence, qui a découvert la vulnérabilité, a publié une preuve de concept (PoC) exploitant ce défaut. Selon leurs tests, la stabilité de l'exploit dépasse 99 % sur un système inactif. Plus tôt, en avril, la société FuzzingLabs avait également présenté un PoC fonctionnel.

Correctif disponible et contexte

Le correctif a été intégré au noyau Linux dès février 2026. Il est donc vivement recommandé aux administrateurs système d'appliquer les mises à jour de sécurité sans délai, en particulier sur les machines accueillant des utilisateurs non fiables ou exposées à des risques d'intrusion.

Cette vulnérabilité s'ajoute à au moins deux autres failles graves d'élévation de privilèges découvertes ces dernières semaines dans le noyau Linux. Combinées à un autre exploit, elles pourraient permettre de contourner les mécanismes de protection du système d'exploitation. Les experts rappellent que les attaques réelles associent fréquemment un accès distant non privilégié à une escalade locale de privilèges, rendant ce type de faille particulièrement critique.