https://cyberveille.ch/tags/dirty-frag/ Recent content in Dirty-Frag on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Fri, 08 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-08-dirty-frag-deux-vulnerabilites-linux-permettent-l-elevation-de-privileges-root-cve-2026-43284-cve-2026-43500/ Fri, 08 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-08-dirty-frag-deux-vulnerabilites-linux-permettent-l-elevation-de-privileges-root-cve-2026-43284-cve-2026-43500/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 8 mai 2026 sur GitHub par le chercheur Hyunwoo Kim (@v4bel), ce write-up technique détaille <strong>Dirty Frag</strong>, une classe de vulnérabilités Linux permettant d&rsquo;obtenir les <strong>privilèges root</strong> sur la majorité des distributions Linux en chaînant deux primitives d&rsquo;écriture arbitraire en page cache.</p> <h2 id="-vulnérabilités-impliquées">🧩 Vulnérabilités impliquées</h2> <p>Dirty Frag repose sur deux vulnérabilités distinctes :</p> <ul> <li> <p><strong>CVE-2026-43284 — xfrm-ESP Page-Cache Write</strong> : Dans <code>esp_input()</code>, lorsqu&rsquo;un skb non-linéaire sans <code>frag_list</code> est traité, le code contourne <code>skb_cow_data()</code> et effectue un déchiffrement AEAD en place directement sur la page cache. Via <code>splice()</code>, un attaquant peut planter une page cache en lecture seule dans le frag du skb. La fonction <code>crypto_authenc_esn_decrypt()</code> effectue un STORE de 4 octets contrôlés (via <code>seq_hi</code> de l&rsquo;attribut <code>XFRMA_REPLAY_ESN_VAL</code>) à un offset de fichier choisi. L&rsquo;authentification AEAD échoue mais le STORE est déjà persisté. Nécessite <code>CAP_NET_ADMIN</code> (user namespace suffisant).</p>