Une vulnérabilité zero-day inédite sur Linux, baptisée Dirty Frag, permet à des attaquants locaux d’obtenir des privilèges root sur la plupart des distributions principales en exécutant une unique commande.
Le chercheur en sécurité Hyunwoo Kim a révélé cette faille d’élévation de privilèges ce jour, en publiant un proof-of-concept (PoC) d’exploitation. Introduite il y a environ neuf ans dans l’interface d’algorithme cryptographique algif_aead du noyau Linux, elle combine deux défauts distincts : la vulnérabilité d’écriture dans le page-cache xfrm-ESP et celle du page-cache RxRPC.
Fonctionnement et impact étendu
Dirty Frag modifie des fichiers système protégés en mémoire sans autorisation, menant à une élévation de privilèges immédiate. Bien qu’appartenant à la même famille que Dirty Pipe et Copy Fail, elle cible le champ fragment d’une structure de données kernel différente.
Aucune identification CVE n’existe encore pour suivre cette faille, qui touche Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed et Fedora. Les correctifs tardent à arriver sur ces systèmes.

Ce bug logique déterministe évite les conditions de course et offre un taux de réussite élevé, sans risque de panic du noyau en cas d’échec.
Publication et mitigation temporaire
Hyunwoo Kim a diffusé la documentation complète et le PoC après rupture de l’embargo le 7 mai 2026, due à une publication indépendante par un tiers. Suite à des échanges avec les mainteneurs via linux-distros@vs.openwall.org, le document est public sans correctif ni CVE disponible.
Pour protéger les machines, les utilisateurs Linux exécutent cette commande afin de désactiver les modules vulnérables :
sh -c "printf 'install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Contexte des vulnérabilités récentes
Cette divulgation survient alors que les mainteneurs déploient encore les patches pour Copy Fail, une autre faille d’élévation root exploitée activement. Vendredi dernier, la CISA l’a inscrite à son catalogue KEV, imposant aux agences fédérales une sécurisation d’ici le 15 mai.
En avril, les distributions ont corrigé Pack2TheRoot, défaut d’élévation de privilèges présent depuis dix ans dans le démon PackageKit.
