DirtyDecrypt, c’est le nom d’une nouvelle faille importante découverte dans le noyau Linux. Comme Dirty Frag et d’autres exploits récents, cette vulnérabilité permet une élévation de privilèges en local. Voici l’essentiel à savoir.

DirtyDecrypt : un problème de Copy-on-Write dans le noyau Linux

L’équipe de sécurité de V12 Security a découvert et signalé cette vulnérabilité située dans le noyau Linux le 9 mai 2026. Surnommée DirtyDecrypt (et DirtyCBC), elle est considérée comme une variante de Copy Fail, Dirty Frag et Fragnesia. Preuve que la série noire continue depuis plusieurs semaines.

Toutefois, les mainteneurs du noyau Linux ont fait savoir aux chercheurs que cette vulnérabilité était un doublon vis-à-vis d’une autre faille déjà patchée récemment dans la branche principale (mainline). Ainsi, celle-ci n’a pas de référence CVE. En réalité, il s’agirait de la CVE-2026-31635, une faille de sécurité patchée le 25 avril 2026. Ce lien entre DirtyDecrypt et la CVE-2026-31635 a été confirmé par le NIST, puisque la page associée à cette vulnérabilité contient un lien vers le GitHub de V12.

Le dépôt GitHub en question contient d’ailleurs un code d’exploitation (PoC) pour la vulnérabilité DirtyDecrypt. Grâce au fichier mis à disposition par V12 Security, il est possible d’exploiter cette vulnérabilité sur Linux. Mais, cette fois-ci, la bonne nouvelle, c’est qu’il y a déjà un patch.

Le contexte est posé. Désormais, parlons de cette faille en elle-même.

Il s’agirait d’un problème de gestion de la mémoire cache. Plus précisément, c’est une écriture dans le page cache rendue possible en l’absence de protection copy-on-write dans . Ainsi, en l’absence de cette barrière de protection, les données corrompues peuvent être directement écrites dans la mémoire de processus privilégiés ou, selon la méthode d’exploitation, dans le page cache de fichiers sensibles (tels que , ).

La conséquence : un attaquant local non privilégié peut obtenir les droits root.

DirtyDecrypt : des distributions épargnées

À la différence des autres failles découvertes récemment, celle-ci n’affecte pas toutes les distributions Linux. En effet, elle affecte uniquement les distributions Linux sur lesquelles l’option est activée. Il s’agit d’un composant ajouté au noyau Linux en août 2025 qui fournit la classe de sécurité RxGK basée sur GSSAPI pour AFS (réseau).

C’est notamment le cas de plusieurs distributions qui utilisent une version du noyau où ce composant est présent. On peut citer Fedora, Arch Linux et openSUSE Tumbleweed, sans que cette liste soit exhaustive. Par exemple, Ubuntu et Debian ne sont pas affectés par cette vulnérabilité.

Vous pouvez le vérifier en exécutant cette commande sur votre machine :

En effet, cette commande permet de vérifier si l’option de configuration RXGK est activée dans le noyau Linux actuellement en cours d’exécution.

Vers un kill switch dans le noyau Linux ?

Face à cette succession rapide de failles en l’espace de quelques semaines, cet article est l’occasion de rappeler l’idée de Sasha Levin, l’un des mainteneurs du noyau Linux. Il a soumis l’idée d’intégrer un kill switch au noyau Linux, c’est-à-dire un bouton d’arrêt d’urgence, dont l’objectif est de permettre aux administrateurs de désactiver à la volée des fonctions vulnérables du noyau.

Ceci permettrait de se protéger d’une faille zero-day avant que le correctif officiel soit publié. Comme on l’a vu avec les vulnérabilités critiques découvertes récemment, l’arrivée du patch peut nécessiter plusieurs jours.