PoC public : vol de clés SSH et /etc/shadow via bypass ptrace mm-NULL + pidfd_getfd (pré-31e62c2ebbfd)
🔍 Contexte Publié le 15 mai 2026 sur GitHub par le compte 0xdeadbeefnetwork, le dépôt ssh-keysign-pwn met à disposition un proof-of-concept (PoC) fonctionnel exploitant une vulnérabilité du noyau Linux. Le bug a été rapporté par Qualys et corrigé par Linus Torvalds le 2026-05-14 (commit 31e62c2ebbfd). Jann Horn avait identifié la forme de vol de descripteur de fichier dès octobre 2020, soit six ans avant le correctif. 🐛 Vulnérabilité exploitée La faille réside dans __ptrace_may_access() : lorsque task->mm == NULL, la vérification dumpable est ignorée. Durant do_exit(), exit_mm() s’exécute avant exit_files(), créant une fenêtre temporelle où le processus n’a plus de mm mais conserve ses descripteurs de fichiers ouverts. pidfd_getfd(2) réussit dans cette fenêtre si l’UID de l’appelant correspond à celui de la cible. ...