Sélection de la langue

Government of Canada / Gouvernement du Canada

Alerte - AL26-011 – Vulnérabilités touchant Linux – CVE-2026-43284 et CVE-2026-43500

Numéro : AL26-011
Date : 8 mai 2026

Auditoire

La présente alerte s’adresse aux TI professionnelles et professionnels ainsi qu’aux gestionnaires.

Objet

Une alerte vise à sensibiliser les destinataires à une cybermenace récemment détectée pouvant toucher les actifs informationnels, et à fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) est également disponible pour offrir une assistance supplémentaire relativement au contenu de cette alerte, sur demande.

Détails

Le Centre pour la cybersécurité est au courant de vulnérabilités de sécurité affectant les systèmes d’exploitation Linux, identifiées comme CVE-2026-43284Note de bas de page 1 et CVE-2026-43500Note de bas de page 2.

Publiée sous le numéro CVE-2026-43284, cette vulnérabilité du noyau Linux de type condition d’écriture arbitraire (CWE-123)Note de bas de page 3 pourrait permettre à un attaquant local d’exécuter du code arbitraire.

Publiée sous le numéro CVE-2026-43500, cette vulnérabilité est de type élévation locale de privilèges (LPE) dans le sous-système RxRPC du noyau Linux, permettant potentiellement à un attaquant local d’élever ses privilèges.

Les signalements publics et les avis de sécurité du noyau LinuxNote de bas de page 4Note de bas de page 5Note de bas de page 6Note de bas de page 7Note de bas de page 8Note de bas de page 9 indiquent que ces vulnérabilités proviennent du noyau Linux et peuvent, dans certaines conditions, permettre une élévation de privilèges jusqu'au niveau administrateur (root) ou le contournement de mécanismes d’isolation.

Désignées publiquement sous le nom « Dirty Frag », les vulnérabilités CVE-2026-43284 et CVE-2026-43500 peuvent être combinées afin de permettre à un utilisateur local non privilégié d’obtenir un accès administratif (root)Note de bas de page 10. Combinées à une vulnérabilité d’exécution de code à distance, ces failles deviennent encore plus critiques et doivent être priorisées pour l’application de correctifs.

Le Centre pour la cybersécurité est au courant de preuves de concept (POC) fonctionnelles, accessibles publiquement, exploitant ces vulnérabilitésNote de bas de page 11.

Mesures recommandées

En date du 8 mai 2026, aucun correctif universel n’a été publié pour l’ensemble des noyaux stables concernant CVE-2026-43284 et CVE-2026-43500.

Le Centre pour la cybersécurité recommande aux organisations d’identifier et d’appliquer les mesures d’atténuation recommandées jusqu’à ce que des correctifs soient disponibles.

Les environnements touchés incluent, sans s’y limiter :

  • Les distributions Linux d’entreprise (Red Hat Enterprise Linux, Rocky Linux, AlmaLinux, Oracle Linux, Fedora et CentOS Stream) ;
  • Les distributions basées sur Debian (Debian, Ubuntu) ;
  • Les distributions basées sur SUSE (SUSE Linux Enterprise, openSUSE) ;
  • D’autres systèmes Linux exécutant des versions vulnérables du noyau.

Les organisations devraient consulter les mainteneurs de leur distribution respective pour obtenir des renseignements propres à la version concernant l’impact et les mesures d’atténuation. Les organisations peuvent déterminer si leurs systèmes peuvent être touchés par CVE-2026-43284 et CVE-2026-43500 en :

  • Identifiant la version du noyau Linux en cours d’exécution à l’aide de la commande uname -r, notamment si elle inclut :
    • la prise en charge ESP/XFRM IPsec
    • les chemins de réception UDP ESP‑in‑UDP
    • RxRPC activé
  • Vérifiant si les modules du noyau concernés sont actuellement chargés en exécutant lsmod | egrep '^(esp4|esp6|rxrpc)\b' ou grep -qE '^(esp4|esp6|rxrpc) ' /proc/modules; l’absence de sortie indique que les modules ne sont pas actuellement chargés, mais les organisations devraient également vérifier si ces modules peuvent être chargés et consulter les directives des fournisseurs.

Jusqu’à ce que des correctifs soient disponibles, le Centre pour la cybersécurité recommande aux organisations :

  • De désactiver les modules vulnérables du noyau (esp4, esp6 et rxrpc) s’ils ne sont pas nécessaires en exécutant sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true" ou en suivant les directives propres à la distribution lorsqu’elles sont disponiblesNote de bas de page 9Note de bas de page 12. Remarque : La désactivation de esp4 et esp6 peut perturber IPsec. La désactivation de rxrpc peut avoir un impact sur les systèmes AFS. Régénérer les images initramfs avec sudo update-initramfs -u -k all ou en suivant les directives du fournisseur lorsque disponibles.
  • De restreindre l’accès local et distant aux systèmes concernés ;
  • D’examiner et de limiter les privilèges administratifs ;
  • De surveiller les journaux pour détecter toute activité anormale.

De plus, le Centre pour la cybersécurité recommande fortement de mettre en œuvre les 10 mesures de sécurité des TINote de bas de page 13, notamment :

  • Appliquer des correctifs aux systèmes et applications
  • Gérer les privilèges administratifs
  • Renforcer les systèmes
  • Segmenter l’information

Toute activité correspondante doit être signalée via Mon cyberportail ou par courriel à contact@cyber.gc.ca.

Date de modification :