Une faille critique du noyau Linux exploitée par un unique caractère erroné

Une vulnérabilité récemment rendue publique dans le noyau Linux, identifiée sous la référence CVE-2026-23111, a mis en lumière un bug d'une simplicité déconcertante : un unique caractère mal placé dans le code du sous-système nf_tables, responsable du filtrage des paquets réseau, ouvre la voie à une élévation complète des privilèges.

Un bug dans le mécanisme de gestion mémoire

Cette faille est classée comme un « use-after-free » (utilisation après libération). Elle se produit lorsque le noyau tente d'accéder à une zone mémoire qu'il a déjà libérée, une situation qui peut être exploitée pour corrompre des données critiques et prendre le contrôle du système. Dans le cas présent, une erreur logique dans la fonction nft_map_catchall_activate() inverse le sens d'un test, provoquant ce défaut. Le correctif, soumis dès le 5 février, consiste simplement à retirer le point d'exclamation qui faussait la condition (commit 8fdb05de).

Une escalade de privilèges locale et publique

L'exploitation de cette vulnérabilité permet à un utilisateur disposant d'un compte local sans droits particuliers — par exemple après avoir compromis une application web ou un service — d'exécuter un code qui lui octroie un accès root complet sur la machine hôte. Le chercheur Oliver Sieber, de la société Exodus Intelligence, a publié le 8 juin une analyse détaillée de l'exploit, qu'il a titrée « Off By ! » en référence à ce caractère unique. De leur côté, les chercheurs de FuzzingLabs avaient déjà diffusé leur propre version de l'exploit le 16 avril, démontrant la fiabilité de l'attaque sur différentes distributions.

Versions affectées et score de gravité

Les tests menés par Exodus ont validé l'exploit sur Debian Bookworm, Debian Trixie, ainsi que sur Ubuntu 22.04 et 24.04. FuzzingLabs a pour sa part réussi à faire fonctionner son code sur Red Hat Enterprise Linux 10 (RHEL 10), en amont du concours de cybersécurité Pwn2Own de Berlin. La distribution Ubuntu a attribué à cette faille un score CVSS de 7,8, correspondant à un niveau de risque élevé. Ces informations indiquent que la vulnérabilité touche un large éventail de systèmes Linux récents.

Un calendrier préoccupant

Le décalage entre la publication du correctif et celle des exploits suscite des inquiétudes. Le patch a été mis à disposition des développeurs et des mainteneurs de distributions dès le 5 février. Or, le code d'exploitation de FuzzingLabs est apparu le 16 avril, et celui d'Exodus a été détaillé le 8 juin. Cela signifie que des semaines se sont écoulées durant lesquelles un correctif existait, mais sans que l'ensemble des utilisateurs n'aient appliqué la mise à jour, tandis que les détails techniques de l'attaque devenaient accessibles à tous. Cette situation expose de nombreuses machines qui n'ont pas encore reçu ou installé le correctif.

Des mesures de protection temporaires

En attendant de pouvoir appliquer le patch du noyau, les administrateurs peuvent limiter l'exposition en désactivant les « user namespaces » non privilégiés. Cette opération peut être réalisée en configurant le paramètre user.max_user_namespaces=0 au niveau du noyau. Sur les systèmes Debian ou les versions anciennes d'Ubuntu, il est possible d'utiliser le paramètre kernel.unprivileged_userns_clone=0. Toutefois, cette mesure de contournement peut avoir des effets de bord, notamment en empêchant le bon fonctionnement du bac à sable (sandbox) de Chrome ou de l'outil de déploiement d'applications Flatpak.

Une série de failles similaires

Cette vulnérabilité s'inscrit dans une série de failles d'élévation de privilèges locales découvertes au printemps sur le noyau Linux, comme « Copy Fail », « Dirty Frag » et sa variante « Fragnesia ». Chacune reposait sur un mécanisme différent, mais toutes partageaient le même schéma : un utilisateur local non privilégié parvenait à obtenir un accès root complet. La répétition de ces épisodes souligne la difficulté de sécuriser un noyau aussi complexe et largement déployé que Linux.

Recommandations pour les utilisateurs

La priorité pour les administrateurs système et les utilisateurs est d'appliquer dès que possible les mises à jour du noyau proposées par leur distribution. Les environnements critiques, tels que les serveurs hébergeant des conteneurs ou des services multi-locataires, sont particulièrement exposés. L'exploitation de cette faille nécessite un accès local préalable, mais elle permet ensuite de prendre le contrôle total de la machine, ce qui en fait un outil de choix pour un attaquant ayant déjà franchi un premier niveau de défense.