Dirty Frag sous Linux : guide technique page cache, skb et élévation locale

Dirty Frag est une élévation locale de privilèges dans Linux divulguée le 7 mai 2026. L’intérêt technique vient de la classe de bug : des pages issues du page cache peuvent circuler dans des fragments réseau non linéaires et des chemins cryptographiques qui écrivent en place. Si une copie privée aurait dû être créée, le contenu protégé peut être modifié via un autre sous-système.

Modèle de menace

L’attaquant a besoin d’exécution locale : shell limité, job CI, conteneur, notebook, plugin ou code client. Le risque est maximal lorsque plusieurs niveaux de confiance partagent le même noyau.

Page cache et propriété

Le page cache participe au modèle réel d’accès aux fichiers. Un processus sans droit d’écriture ne doit pas modifier une page représentant un fichier protégé par un chemin alternatif. Dirty Frag rappelle que les optimisations zero-copy exigent des garanties fortes sur la propriété et la mutabilité des buffers.

Fragments skb et crypto

sk_buff peut contenir des références à des pages plutôt qu’un buffer contigu. C’est efficace pour splice, sendfile et la transmission réseau, mais les couches suivantes doivent savoir si la mémoire est modifiable. Les documents Dirty Frag citent des chemins liés à ESP4/ESP6 et RxRPC.

Mitigation

Appliquer les mises à jour du noyau via la distribution ou le fournisseur cloud, puis redémarrer ou remplacer les nœuds. Prioriser CI/CD, Kubernetes, hôtes partagés et systèmes exécutant du code tiers. En attendant, utiliser des runners éphémères, réduire les secrets et éviter les conteneurs privilégiés.

FAQ

splice est-il la cause ?

Il fait partie du flux de données, mais le problème central est l’écriture sur une mémoire qui aurait dû être copiée ou traitée comme partagée.

Faut-il désactiver IPsec ?

Pas de façon générale. Il faut appliquer les correctifs et évaluer l’exposition réelle.

Sources

• Openwall oss-security.
• Write-up Dirty Frag.
• Dirty Frag.
• Hacker News.