Linux fait face à une nouvelle vague d’alertes de sécurité avec une seconde vulnérabilité d’escalade de privilèges signalée en quelques semaines. Les deux failles concernent le noyau et exploitent des erreurs dans la façon dont celui-ci gère des caches de pages en mémoire. Dans la pratique, des utilisateurs non autorisés pourraient altérer le contenu de ces caches, ce qui ouvre la voie à des prises de contrôle plus élevées selon les configurations.

Des failles liées aux caches de pages du noyau

Les deux vulnérabilités reposent sur un même principe : le noyau peut être amené à traiter incorrectement des pages mises en cache, permettant à un attaquant de modifier ces données en mémoire. Les cibles principales se trouvent dans des composants du noyau impliqués dans la mise en cache, notamment côté réseau et traitement de fragments en mémoire.

Concrètement :

• CVE-2026-43284 vise la chaîne de réception IPsec liée aux processus esp4 et esp6.

• CVE-2026-43500 cible rxrpc, un mécanisme noyau utilisé pour la communication RPC dans le réseau.

Une continuité avec les précédentes attaques “Dirty”

La première faille récemment documentée s’inscrivait déjà dans une famille d’issues de sécurité associées à des défauts de manipulation des caches en mémoire, avec une origine rappelant celle d’anciennes techniques comme Dirty Pipe (qui permettait de remplacer le contenu de caches de pages). Cette nouvelle vague, souvent regroupée sous le même type de modèle d’exploitation, suggère une exploitation plus structurée des mécanismes internes du noyau.

Les chercheurs décrivent en particulier l’usage de splice() pour “placer” une référence à une page de cache en mémoire, puis laisser le code noyau effectuer des opérations (notamment cryptographiques) qui aboutissent à une modification en place des données. Même si l’attaquant ne disposerait au départ que d’un accès en lecture, le résultat serait un cache corrompu, observable lors des lectures ultérieures.

Risque accru lorsqu’elles sont combinées

Un point important est que chaque exploitation, prise isolément, peut être moins fiable selon le système et ses protections. Par exemple, certaines distributions peuvent limiter l’utilisation d’espaces de noms non privilégiés via des contrôles comme AppArmor, ce qui peut réduire l’impact de la branche IPsec.

De même, si le module rxrpc n’est pas chargé par défaut dans une distribution donnée, le volet lié à CVE-2026-43500 peut être neutralisé.

En revanche, lorsque les deux failles sont exploitables dans un même environnement (par exemple via la combinaison de conditions réseau et de modules actifs), les chercheurs indiquent que l’attaque pourrait conduire à l’obtention de privilèges élevés sur des configurations largement utilisées.

Mesures de mitigation prioritaires

La recommandation centrale reste simple : appliquer immédiatement les correctifs du noyau dès qu’ils sont disponibles. Dans la plupart des cas, cela implique un redémarrage, nécessaire pour charger la nouvelle version du noyau et invalider l’ancien état vulnérable.

Pour les environnements qui ne peuvent pas patcher sans délai, l’objectif est de réduire la surface exposée en suivant les mesures de contournement proposées par les équipes de sécurité : limiter l’activation des composants concernés, vérifier les modules noyau présents et s’assurer que les mécanismes de durcissement (selon les distributions) sont bien en place.

Dans une logique de gestion de parc, il peut aussi être utile de renforcer le cloisonnement des systèmes et de limiter les accès externes aux services réseau exposés afin de diminuer la probabilité d’exploitation.

Pour ceux qui souhaitent améliorer la résilience en attendant la mise à jour, un mini-PC orienté serveur avec KVM/virtualisation peut aider à isoler des environnements de test et de durcissement. À l’échelle bureautique, un pare-feu matériel pour segmentation réseau peut également faciliter la limitation des flux vers les machines sensibles.