Dirty Frag Linux

Après « CopyFail », voici « Dirty Frag » :

• https://github.com/V4bel/dirtyfrag
• oss-security - Dirty Frag: Universal Linux LPE

Cette faille est similaire à « Copy Fail » tout en ayant une action différente à deux « cartouches », càd qu’elle teste de deux manières différentes l’accès administrateur « pour obtenir gain de cause ».

Une « belle cochonnerie » qui n’a pas pu être remontée correctement au-travers de CVE, à cause d’un indélicat qui a « moufté sur un réseau social » (apparemment).
Conséquence : aucun patch officiel pour aucune distribution à ce jour !
Cela se fera certainement, parce que la faille est sérieuse.

En attendant, un moyen de « correction » — à faire avec des droits administrateurs :

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Explications :

La commande créé un fichier /etc/modprobe.d/dirtyfrag.conf contenant trois lignes :

install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false

Cela impact les couches réseaux IPv4 et IPv6 en désactivant les binaires relatifs.

Autres informations :

• https://github.com/V4bel/dirtyfrag/blob/master/assets/write-up.md : des explications profondes sur les incidences (en anglais)
• https://www.it-connect.fr/dirty-frag-cette-faille-zero-day-donne-les-droits-root-sur-linux/

C’est dommage car on ne comprend pas, trop malgré toute cette doc, si la faille est exploitable à distance, ou uniquement si l’attaquant a un accès physique à la machine. Avec CopyFail on savait qu’il fallait un accès physique. Vous avez une idée de votre côté ?

à-priori, c’est du même « aka-bit »
« aka-bit » est un jeu de mots : comprendre « acabit »

Idem que Copy Fail, même « Aqua Bite » comme dit le pingouin

Cependant, si les module ESP ne sont pas utilisé (comme c’est le cas chez moi), il n’y a donc pas de risque. Mais le blocage du module est toujours bon à prendre.

esp4 et esp6 sont des modules du noyau Linux qui implémentent le protocole IPsec Encapsulating Security Payload (ESP) pour IPv4 et IPv6 respectivement. Ils fournissent le traitement ESP côté noyau utilisé par IPsec : cryptage/décryptage des paquets, authentification et protection contre la relecture.

Donc si vous utilisez IPsec, vous êtes vulnérable. On pourrait penser que cela rend la faille utilisable à distance, mais rien n’est sur. Elle l’est en local c’est certain.

Tu as compris la même chose.

Ceci dit aussi, du fait de désactiver ces modules, cela rend IPSec non fonctionnel !

Oui il faut donc changer de protocole

Ce qui doit être intéressant c’est aussi de regarder du cote de fournisseurs comme Fortigate qui ont potentiellement le même problème.

Pour le choix de passer en TLS au lieu d’IPsec, un bout de reflexion ci-dessous:
Réponse courte : Non—les VPN basés sur TLS (SSL/TLS) peuvent être cryptographiquement robustes, mais IPsec est généralement préféré car il offre une protection de la couche réseau, une gestion des clés mature basée sur IKE, de meilleures performances/évolutivité pour l’accès à distance site à site et entreprise, et la parité des fonctionnalités à venir.

Les points clés pour décider lesquels utiliser :

Cryptographie : TLS et IPsec peuvent utiliser des chiffrements forts ; la sécurité dépend des suites de chiffrement choisies, des longueurs de clé et des versions de protocole.
Couche et étendue : IPsec fonctionne au niveau de la couche IP (protège tout le trafic de manière transparente) ; TLS protège les sessions au niveau de la couche transport/application (peut nécessiter une gestion par application).
Authentification et gestion des clés : IPsec (IKEv2) offre des durées de vie SA/IKE standardisées et des méthodes d’authentification adaptées aux entreprises ; TLS utilise une liaison certificat/TLS et peut être tout aussi sécurisé, mais présente souvent différents compromis opérationnels.
Surface d’attaque et posture du client : Les VPN TLS basés sur un navigateur ou de type proxy peuvent exposer différents vecteurs d’attaque (composants web, plugins). IPsec basé sur le client limite souvent l’exposition à moins de composants. balanced.plus
Performance et évolutivité : IPsec offre généralement un meilleur débit et une charge de travail plus faible pour les tunnels à grande échelle ou de site à site.
Interopérabilité et fonctionnalités : Les documents et outils Fortinet favorisent désormais IPsec pour la prise en charge de la parité des fonctionnalités et de la migration.

Wireguard?

Alternatives courantes

• WireGuard - gestion moderne, simple, haute performance et plus facile des clés.
• OpenVPN — mature, basé sur TLS, largement pris en charge, flexible.
• Site-à-site basé sur TLS (par exemple, TLS mutuel sur Stunnel) — lorsque vous souhaitez utiliser l’outil TLS.
• Cryptage de la couche application (TLS, mTLS, QUIC) — lorsque vous pouvez sécuriser des applications individuelles au lieu du réseau.

Tunnels SSH par exemple aussi.

L’intérêt d’IPsec c’est qu’il descend jusqu’à la couche 2 du modèle OSI.

Sid est déjà patché apparemment : Information on source package linux

CVE-2026-43500 et CVE-2026-43284

oui, mais pas encore reçu dans les tuyaux !
(certainement plus tard dans la journée)

Cette faille a été découverte grâce à des recherches menées par un type plutôt sympa, suite à la découverte de CopyFail. En très peu de temps, ça fait deux failles énormes découvertes sur Linux. Mais je soupçonne que maintenant, tout un tas de gars plus ou moins recommandables vont chercher encore de nouvelles failles exploitables en suivant ce même filon. On risque d’en voir arriver d’autres.

On peut saluer le dévouement de la communauté, plus d’un doit passer son week-end à faire du codage, des tests, du packaging…

C’est une grosse faille qui a induit la suivante
facile à contourner, et rapidement corrigée.
Il faut tout de même avoir accès à la machine avec un compte actif pour l’exploiter.

Sans compter que Copy Fail n’aurait jamais été découverte sans le contrôle d’une IA.

En soit, c’est une bonne chose qu’elle est était découverte

C’est une utilisation pertinente de l’IA

Enfin, installé

Mise à jour du noyau en cours pour la stable, en 6.12.86.