[related]chez AlmaLinux
-
Nouveaux kernels stables : 7.0.5 / 6.18.28 / 6.12.87 / 6.6.138
Ils embarquent un fix partiel pour #DirtyFrag (CVE-2026-43284) et Copy Fail 2.
Partiel, car Greg Kroah-Hartman a confirmé qu'un second patch est encore en développement et n'a pas encore été mergé.
La mitigation par blacklist des modules reste donc recommandée en attendant.
https://lwn.net/Articles/1071775/Tour d'horizon #DirtyFrag du jour :
Bien évidemment Microsoft a sauté sur l'occasion avec un article sur une vuln Linux ...because M love Linux
https://www.microsoft.com/en-us/security/blog/2026/05/08/active-attack-dirty-frag-linux-vulnerability-expands-post-compromise-risk/L'incontournable FAQ Tenable pour ceux comme moi qui aiment lire les CVE comme un mode d'emploi IKEA
https://www.tenable.com/blog/dirty-frag-cve-2026-43284-cve-2026-43500-frequently-asked-questions-linux-kernel-lpeRed Hat a mis à jour sa page RHSB-2026-003 avec mitigations et vérifs, en attendant le patch qui arrive "bientôt
"
https://access.redhat.com/security/vulnerabilities/RHSB-2026-003Et chez moi sur ma belle et adorée Debian ? Les canaux security sont patchés pour bullseye, bookworm et trixie.
Bien joué !
https://security-tracker.debian.org/tracker/CVE-2026-43284Cela dit, effectivement avec l'IA qui accélère la découverte + embargos qui tiennent plus = fenêtre d'exposition qui va pas aller en rétrécissant. Les mainteneurs vont devoir trouver de nouveaux tricks. Live-patch, micro-patch, pipelines accélérés... à suivre.
-
Tour d'horizon #DirtyFrag du jour :
Bien évidemment Microsoft a sauté sur l'occasion avec un article sur une vuln Linux ...because M love Linux
https://www.microsoft.com/en-us/security/blog/2026/05/08/active-attack-dirty-frag-linux-vulnerability-expands-post-compromise-risk/L'incontournable FAQ Tenable pour ceux comme moi qui aiment lire les CVE comme un mode d'emploi IKEA
https://www.tenable.com/blog/dirty-frag-cve-2026-43284-cve-2026-43500-frequently-asked-questions-linux-kernel-lpeRed Hat a mis à jour sa page RHSB-2026-003 avec mitigations et vérifs, en attendant le patch qui arrive "bientôt
"
https://access.redhat.com/security/vulnerabilities/RHSB-2026-003Et chez moi sur ma belle et adorée Debian ? Les canaux security sont patchés pour bullseye, bookworm et trixie.
Bien joué !
https://security-tracker.debian.org/tracker/CVE-2026-43284Cela dit, effectivement avec l'IA qui accélère la découverte + embargos qui tiennent plus = fenêtre d'exposition qui va pas aller en rétrécissant. Les mainteneurs vont devoir trouver de nouveaux tricks. Live-patch, micro-patch, pipelines accélérés... à suivre.
...pourquoi pas?
à grand risque, grande responsabilité
️
"Linux kernel maintainers pitch emergency killswitch after CopyFail and Dirty Frag chaos"
https://www.theregister.com/oses/2026/05/11/linux-kernel-maintainers-pitch-emergency-killswitch-after-copyfail-and-dirty-frag-chaos/5237801
https://lore.kernel.org/all/20260507070547.2268452-1-sashal@kernel.org/ -
...pourquoi pas?
à grand risque, grande responsabilité️
"Linux kernel maintainers pitch emergency killswitch after CopyFail and Dirty Frag chaos"
https://www.theregister.com/oses/2026/05/11/linux-kernel-maintainers-pitch-emergency-killswitch-after-copyfail-and-dirty-frag-chaos/5237801
https://lore.kernel.org/all/20260507070547.2268452-1-sashal@kernel.org/🤪
et c'est reparti pour un tour : #fragnesia le petit frère de DirtyFrag (même famille ESP/XFRM, même mitigation rmmod esp4 esp6 rxrpc, même page cache qui se fait défoncer, just trust me bro).Bonne nouvelle : si t'avais blocklisté les modules « au cas où », t'es OK.
Mauvaise nouvelle : si t'as "juste" patché DirtyFrag , il te faut le patch Fragnesia aussi.
"Fragnesia is a universal Linux local privilege escalation exploit, discovered by William Bowling with the V12 team. Fragnesia is a member of the Dirty Frag vulnerability class. "
https://github.com/v12-security/pocs/tree/main/fragnesia -
🤪
et c'est reparti pour un tour : #fragnesia le petit frère de DirtyFrag (même famille ESP/XFRM, même mitigation rmmod esp4 esp6 rxrpc, même page cache qui se fait défoncer, just trust me bro).Bonne nouvelle : si t'avais blocklisté les modules « au cas où », t'es OK.
Mauvaise nouvelle : si t'as "juste" patché DirtyFrag , il te faut le patch Fragnesia aussi.
"Fragnesia is a universal Linux local privilege escalation exploit, discovered by William Bowling with the V12 team. Fragnesia is a member of the Dirty Frag vulnerability class. "
https://github.com/v12-security/pocs/tree/main/fragnesia#Fragnesia #Linux #Kernel
"All versions affected by dirtyfrag are affected."
"Any versions without this patch: https://lists.openwall.net/netdev/2026/05/13/79 , so any Linux kernel before May 13 2026." -
#Fragnesia #Linux #Kernel
"All versions affected by dirtyfrag are affected."
"Any versions without this patch: https://lists.openwall.net/netdev/2026/05/13/79 , so any Linux kernel before May 13 2026."@decio I was not successful with the POC, even with modules allowed.
-
#Fragnesia #Linux #Kernel
"All versions affected by dirtyfrag are affected."
"Any versions without this patch: https://lists.openwall.net/netdev/2026/05/13/79 , so any Linux kernel before May 13 2026."[related]
"Fragnesia: Linux Kernel Local Privilege Escalation via ESP-in-TCP"
https://www.wiz.io/blog/fragnesia-linux-kernel-local-privilege-escalation-via-esp-in-tcp -
@decio I was not successful with the POC, even with modules allowed.
@bortzmeyer Intéressant, tu peux me dire sur quelle distro/version ?
Je n'ai pas encore eu le temps de le tester sur mes conteneurs & Debian/Kali, mais d'après le README pour Ubuntu: AppArmor restricts unprivileged user namespaces by default. -
R relay@relay.infosec.exchange shared this topic
-
@bortzmeyer Intéressant, tu peux me dire sur quelle distro/version ?
Je n'ai pas encore eu le temps de le tester sur mes conteneurs & Debian/Kali, mais d'après le README pour Ubuntu: AppArmor restricts unprivileged user namespaces by default.@decio Debian 13 (stable) à jour.
-
@bortzmeyer Intéressant, tu peux me dire sur quelle distro/version ?
Je n'ai pas encore eu le temps de le tester sur mes conteneurs & Debian/Kali, mais d'après le README pour Ubuntu: AppArmor restricts unprivileged user namespaces by default.@decio J'ai essayé avec et sans l'autorisation de création des namespaces, pareil.
-
@bortzmeyer Intéressant, tu peux me dire sur quelle distro/version ?
Je n'ai pas encore eu le temps de le tester sur mes conteneurs & Debian/Kali, mais d'après le README pour Ubuntu: AppArmor restricts unprivileged user namespaces by default.@decio C'est pas que chez moi (même message d'erreur) https://x.com/idratherwork/status/2054500111917470017
-
@decio C'est pas que chez moi (même message d'erreur) https://x.com/idratherwork/status/2054500111917470017
@bortzmeyer yep !
XFRM_MSG_NEWSA ack errno=22
Donc Debian rejette la configuration XFRM spécifique -
@bortzmeyer yep !
XFRM_MSG_NEWSA ack errno=22
Donc Debian rejette la configuration XFRM spécifique@decio Reste à savoir si le POC peut être modifié pour fonctionner sur Debian, ou bien si c'est une limite plus fondamentale de Fragnesia (qui ne serait pas si universel que ça).
-
@decio Reste à savoir si le POC peut être modifié pour fonctionner sur Debian, ou bien si c'est une limite plus fondamentale de Fragnesia (qui ne serait pas si universel que ça).
@bortzmeyer sur ma kali same same !
└─$ grep ESPINTCP /boot/config-$(uname -r)
CONFIG_INET_ESPINTCP is not set
CONFIG_INET6_ESPINTCP is not set
(6.8.11-amd64 #1 SMP PREEMPT_DYNAMIC Kali 6.8.11-1kali2 (2024-05-30))
c'est explicitement désactivé dans le kernel Kali (et vraisemblablement tout le kernel Debian).
GG Debian
Cela semble donc Ubuntu-centrique...
-
@bortzmeyer sur ma kali same same !
└─$ grep ESPINTCP /boot/config-$(uname -r)
CONFIG_INET_ESPINTCP is not set
CONFIG_INET6_ESPINTCP is not set
(6.8.11-amd64 #1 SMP PREEMPT_DYNAMIC Kali 6.8.11-1kali2 (2024-05-30))
c'est explicitement désactivé dans le kernel Kali (et vraisemblablement tout le kernel Debian).
GG Debian
Cela semble donc Ubuntu-centrique...
-
@decio J'ai essayé avec et sans l'autorisation de création des namespaces, pareil.
@bortzmeyer Effectivement sur Ubuntu 24.04 kernel 6.8 non patché + AppArmor désactivé =
192/192 bytes
whoami→ root
Exploit confirmé.
AppArmor tient la barrière, ne le désactivez pas
-
@bortzmeyer Effectivement sur Ubuntu 24.04 kernel 6.8 non patché + AppArmor désactivé =
192/192 bytes
whoami→ rootExploit confirmé.
AppArmor tient la barrière, ne le désactivez pas
et voilà il a reçu son nom de code CVE-2026-46300
