🔍 Contexte

Publié le 22 avril 2026 sur le forum officiel Ubuntu Community Hub, ce billet de l’équipe Ubuntu Foundations (ravi-sharma) constitue un compte-rendu de transparence sur l’adoption de rust-coreutils (uutils) comme remplacement des GNU coreutils dans Ubuntu.

📋 Processus d’audit

Suite à la décision d’adopter rust-coreutils, Canonical a constitué une équipe interne (Ubuntu Foundations et Ubuntu Security) et a commandité un audit de sécurité externe indépendant auprès de la société Zellic. L’audit s’est déroulé en deux phases :

  • Round 1 (déc. 2025 – jan. 2026) : audit des utilitaires à haute priorité et les plus sensibles du point de vue sécurité
  • Round 2 (fév. 2026 – mar. 2026) : audit des utilitaires restants ; Zellic a contribué directement des correctifs upstream via 30 pull requests

🐛 Résultats de l’audit

Au total, 113 problèmes (73 en round 1, 40 en round 2) de sévérités variées ont été identifiés. La grande majorité a été corrigée par la communauté upstream uutils. 44 CVE (CVE-2026-35338 à CVE-2026-35381) ont été divulgués dans le cadre de cet effort de transparence.

⚠️ Vulnérabilités TOCTOU restantes

Les utilitaires cp, mv et rm conservent 8 problèmes TOCTOU (time-of-check to time-of-use) ouverts au 22 avril 2026. En conséquence, ces trois utilitaires continuent d’être fournis par GNU coreutils dans Ubuntu 26.04 LTS.

📦 Statut pour Ubuntu 26.04 LTS

  • rust-coreutils 0.8.0 (version upstream la plus récente, intégrant la majorité des correctifs) est inclus dans Ubuntu 26.04 LTS
  • rust-coreutils avait été livré par défaut dans Ubuntu 25.10 pour maximiser les tests en conditions réelles
  • La migration complète à 100% rust-coreutils est ciblée pour Ubuntu 26.10

📰 Nature de l’article

Post-mortem et annonce de transparence publiés par Canonical, visant à informer la communauté Ubuntu sur l’état de sécurité de la migration vers rust-coreutils, les vulnérabilités identifiées et les CVE associés.

🧠 TTPs et IOCs détectés

TTP

  • T1race — TOCTOU (Time-of-Check to Time-of-Use) (Privilege Escalation)

IOC

🟡 Indice de vérification factuelle : 35/100 (moyenne)

  • ⬜ discourse.ubuntu.com — source non référencée (0pts)
  • ✅ 6284 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 44 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ⬜ aucune TTP identifiée (0pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/5 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://discourse.ubuntu.com/t/an-update-on-rust-coreutils/80773