Marché #
Cet article fournit des détails techniques supplémentaires concernant les vulnérabilités du noyau Linux :
CVE-2026-43284
CVE-2026-43500
Ces vulnérabilités sont collectivement appelées Fragment sale et affectent des chemins de traitement de paquets spécifiques du noyau Linux associés à :
- XFRM/IPsec
- ESP (Encapsulation de la charge utile de sécurité)
- Fragments de tampon de socket partagé (skb frags)
- Gestion de l'épissage des paquets UDP
Références officielles :
NVD – CVE-2026-43284
NVD – CVE-2026-43500
Contexte technique #
CVE-2026-43284 #
Selon les responsables de la maintenance du noyau Linux, la vulnérabilité provient d'une mauvaise gestion de :
- Fragments skb partagés
- Gestion des pages d'épissure UDP
- Opérations de décryptage ESP sur place
Le problème survient parce que :
MSG_SPLICE_PAGES peut joindre directement des pages appartenant à des tiers dans les tampons de paquetsSKBFL_SHARED_FRAGEn conséquence:
- Le traitement ESP suppose à tort que les données des paquets sont privées.
- Le décryptage ESP peut s'effectuer directement via une mémoire partagée.
- Une corruption de la mémoire ou une modification non intentionnelle des données peut devenir possible.
Le correctif du noyau en amont introduit :
- Suivi correct de la propriété des fragments
- Protections supplémentaires contre la copie en écriture
- Comportement de repli plus sûr utilisant :
skb_cow_data()
CVE-2026-43500 #
Au moment de la rédaction de cet article :
- La vulnérabilité CVE-2026-43500 demeure en statut réservé
- Les détails techniques publics restent limités.
Cependant, elle est associée à la même famille de vulnérabilités Dirty Frag et au même sous-système réseau du noyau.
RELIANOID Analyse de l'exposition #
Standard RELIANOID Déploiements #
RELIANOID lui-même n'utilise pas :
- Traitement personnalisé des pages d'épissure UDP
- manipulation de paquets ESP bruts
- Interactions directes avec le noyau XFRM
Par conséquent, la norme RELIANOID Les déploiements ne sont pas exposés dans des conditions normales d'exploitation.
VPN configuré RELIANOID Déploiements #
RELIANOID déploiements où la fonctionnalité VPN (Réseau > VPN) ou des configurations VPN personnalisées peuvent utiliser les fonctionnalités Linux IPsec/XFRM en fonction de la configuration VPN.
Ça signifie:
- Les modules du noyau liés à IPsec peuvent être chargés lorsque les fonctionnalités VPN/IPsec sont activées.
- Les modules ESP/XFRM peuvent devenir actifs
- Les chemins du noyau affectés pourraient théoriquement devenir accessibles
Modules potentiellement chargés #
Lorsque la fonctionnalité VPN/IPsec est configurée, les modules suivants peuvent apparaître :
esp4 esp6 xfrm_user xfrm_algo xfrm4_mode_transport xfrm4_mode_tunnel xfrm6_mode_transport xfrm6_mode_tunnel
Évaluation des risques pour RELIANOID Utilisateurs VPN #
Actuellement :
- Aucune exploitation active connue contre RELIANOID Des déploiements de VPN ont été identifiés
- Les conditions d'exploitation semblent très spécifiques
- Cette vulnérabilité nécessite des conditions complexes de traitement des paquets impliquant des fragments SKB partagés.
Toutefois, les systèmes utilisant activement la fonctionnalité VPN IPsec doivent être considérés comme potentiellement exposés jusqu'à ce que des noyaux corrigés soient appliqués.
Comment déterminer si RELIANOID Le VPN utilise IPsec #
Vérifier les modules chargés :
lsmod | egrep 'esp|xfrm'
Vérifier les états IPsec actifs #
état de la transaction IP
Vérifier les politiques IPsec actives #
politique de transfert IP
Si des tunnels VPN actifs existent, un résultat similaire à celui-ci peut apparaître :
src 10.0.0.1 dst 10.0.1.1 proto esp spi 0x00000001
Recommandations d'atténuation #
Systèmes n'utilisant pas de VPN/IPsec #
Si la fonctionnalité VPN n'est pas requise :
Décharger les modules et vider les caches
modprobe -r esp4 esp6 xfrm_user xfrm_algo sync; echo 3 > /proc/sys/vm/drop_caches
Modules de liste noire
Créer:
/etc/modprobe.d/disable-xfrm.conf
Contenu:
liste noire esp4 liste noire esp6 liste noire xfrm_user liste noire xfrm_algo liste noire xfrm4_mode_transport liste noire xfrm4_mode_tunnel liste noire xfrm6_mode_transport liste noire xfrm6_mode_tunnel
Systèmes utilisant RELIANOID VPN/IPsec #
Si le module VPN est activement utilisé :
Actions recommandées
- Appliquez immédiatement les mises à jour du noyau du fournisseur dès qu'elles sont disponibles.
- Limitez l'accès au VPN aux seuls pairs de confiance.
- Limitez les logiciels tiers inutiles.
- Écran tactile RELIANOID avis de sécurité
- Surveiller les comportements anormaux du noyau/réseau
Des correctifs pour résoudre cette vulnérabilité seront fournis dans les versions EE > 8.5.
Recommandations supplémentaires en matière de durcissement #
Limiter les sources de paquets non fiables #
Utilisez des règles de pare-feu pour limiter :
- Exposition publique à l'ESP
- Trafic d'encapsulation UDP non fiable
- Pairs VPN externes
Minimiser l'interaction avec le noyau tiers #
Évitez:
- Cadres de manipulation de paquets personnalisés
- Logiciel réseau non fiable
- Modules de noyau expérimentaux
Validation après atténuation #
Vérifiez que les modules concernés ne sont pas chargés :
lsmod | egrep 'esp|xfrm'
Résultat attendu:
(aucune sortie)
Résumé #
Les vulnérabilités de Dirty Frag CVE-2026-43284 et CVE-2026-43500 affecter le traitement ESP/XFRM du noyau Linux associé à la mise en réseau IPsec.
Clarification essentielle
- Standard RELIANOID La fonctionnalité d'équilibrage de charge n'est pas affectée.
- Toutefois, le RELIANOID Le module VPN/IPsec peut charger les modules du noyau concernés
- Systèmes utilisant : Réseau > VPN Les configurations VPN personnalisées doivent évaluer l'exposition et appliquer des mesures d'atténuation en conséquence.
RELIANOID recommande:
- Désactivation des fonctionnalités IPsec inutilisées
- Application des mises à jour du noyau du fournisseur
- Limiter l'exposition des services VPN
- Surveillance des avis de sécurité officiels du noyau
