Quelques jours après Dirty Frag, une nouvelle faille locale du noyau Linux dispose déjà d’un exploit public. Baptisée DirtyDecrypt, elle ne concerne pas toutes les configurations, mais peut permettre d’obtenir les droits root sur les systèmes vulnérables.
La série noire continue pour Linux. À peine l’OS avait-il eu le temps de digérer Copy Fail et Dirty Frag qu’une nouvelle vulnérabilité locale d’élévation de privilèges est venue allonger la liste des failles root récemment repérées dans son noyau. Surnommée DirtyDecrypt, ou DirtyCBC, et documentée par V12, elle touche un composant réseau assez spécifique associé à AFS, système de fichiers distribué essentiellement présent dans des environnements spécialisés, et dispose déjà d’un exploit public. Le risque paraît plus ciblé que pour Dirty Frag, mais l’enchaînement commence à peser sur les distributions Linux et les équipes d’administration chargées de suivre les correctifs.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Un exploit public, mais une surface d’attaque plus limitée que Dirty Frag
À titre de (maigre) consolation, on pourra au moins se rassurer sur le fait que DirtyDecrypt ne concerne pas indistinctement toutes les installations Linux. Pour entrer dans son champ d’exploitation, une machine doit s’appuyer sur une version du noyau compilée avec une option précise, CONFIG_RXGK, prévue pour activer RxGK, une couche de sécurité liée au client AFS et à ses échanges réseau. Dit plus simplement, la faille concerne un périmètre plutôt restreint.
Pour autant, la disponibilité d’un exploit public empêche de ranger DirtyDecrypt dans la pile des curiosités techniques. Testé avec succès sur Fedora et sur la branche principale du noyau Linux, le code publié par V12 nécessite un accès local à la machine, mais peut ensuite servir de marchepied pour obtenir les privilèges root sur une installation vulnérable. Un accélérateur post-compromission plus qu’un moyen d’intrusion initiale, en somme.
Sur le plan technique, DirtyDecrypt repose sur une écriture non autorisée dans le cache de pages du noyau. En temps normal, pour éviter qu’une modification ne touche directement une donnée originale encore utilisée par le système, Linux doit travailler sur une copie séparée. Or, dans le cas qui nous occupe aujourd’hui, cette copie n’est pas créée comme elle devrait l’être. La modification peut alors atteindre la donnée en mémoire, puis être traitée par le système comme si elle n’avait pas été altérée. Un attaquant peut ensuite s’appuyer sur cette donnée falsifiée pour contourner des vérifications internes et déclencher des opérations auxquelles son compte ne devrait pas avoir accès.
Pas de CVE dédiée, mais un correctif à appliquer sans tarder
Signalée le 9 mai auprès des mainteneurs du noyau, la faille aurait toutefois été considérée comme un doublon d’un bug déjà corrigé dans la branche principale de Linux. De fait, aucun identifiant CVE n’est officiellement rattaché au nom DirtyDecrypt, mais selon l’analyste Will Dormann, les détails publiés correspondraient à CVE-2026-31635, effectivement patchée le 25 avril dernier.
Par conséquent, les distributions susceptibles d’embarquer l’option CONFIG_RXGK doivent être mises à jour sans attendre. C’est notamment le cas des environnements proches des versions récentes du noyau, comme Fedora, Arch Linux ou openSUSE Tumbleweed, qui ont pu intégrer le code vulnérable avant la mise à disposition du patch.
Pour celles et ceux qui ne peuvent pas appliquer immédiatement les derniers correctifs, la solution de secours déjà évoquée pour Dirty Frag peut contribuer à réduire le risque. Il faudra notamment désactiver les modules esp4, esp6 et rxrpc, tout en gardant en tête que la manipulation peut perturber les connexions VPN IPsec et les systèmes de fichiers distribués AFS.
Une faille locale d’élévation de privilèges permet à un utilisateur déjà présent sur la machine (compte classique, service compromis, conteneur mal isolé) de gagner des droits plus élevés, jusqu’à root. Elle ne sert généralement pas à “entrer” depuis Internet : elle intervient après un premier accès, même limité. Comme elle touche le noyau, elle peut contourner des protections applicatives, car le noyau arbitre les droits et l’accès à la mémoire, aux fichiers et aux périphériques. La présence d’un exploit public augmente le risque opérationnel, car l’attaque devient reproductible et automatisable.
Que signifie l’option de compilation CONFIG_RXGK, et pourquoi limite-t-elle les systèmes concernés ?CONFIG_RXGK est une option activée lors de la compilation du noyau Linux, qui conditionne l’inclusion d’un composant précis : RxGK. RxGK est lié au client AFS (Andrew File System) et à la sécurité de certains échanges réseau associés, un usage plutôt courant dans des environnements spécialisés (campus, labos, infrastructures historiques) que sur des postes grand public. Si le noyau n’a pas été compilé avec cette option, le code concerné n’est pas présent, ce qui réduit la surface d’attaque. À l’inverse, sur des distributions qui intègrent rapidement des noyaux récents et des options larges, ce genre de configuration peut se retrouver activée plus souvent.
Qu’est-ce qu’une écriture non autorisée dans le cache de pages du noyau (page cache), et pourquoi cela peut mener à un accès root ?Le page cache est une zone mémoire gérée par le noyau pour accélérer l’accès aux fichiers et aux données en évitant de relire sans cesse le disque. Normalement, quand un processus ne doit pas modifier une donnée partagée (par exemple un fichier mappé en mémoire ou une page utilisée ailleurs), le noyau s’appuie sur des mécanismes comme la copie à l’écriture (copy-on-write) pour isoler les modifications. Si une écriture non autorisée atteint directement une page censée rester “propre”, un attaquant peut falsifier des données que le système considère encore fiables. Cette corruption contrôlée peut ensuite servir à contourner des vérifications internes (droits, intégrité, états) et déclencher des opérations privilégiées, jusqu’à obtenir root.
