CVE-2026-46300 Vulnérabilité du noyau Linux Fragnesia

  • Blog
  • CVE-2026-46300 Vulnérabilité du noyau Linux Fragnesia

Expérience en matière de fiabilité du site

Voir les catégories

CVE-2026-46300 Vulnérabilité du noyau Linux Fragnesia

3 min de lecture

Table des Matières

Marché #

Une nouvelle vulnérabilité d'élévation de privilèges locale du noyau Linux, connue sous le nom de Fragnesia, a été divulguée sous la référence CVE-2026-46300.

Fragnesia appartient à la même classe de vulnérabilités que celle récemment divulguée : Fragment sale et Échec de la copie.

Cette vulnérabilité affecte le sous-système XFRM / ESP-in-TCP du noyau Linux, permettant potentiellement à un utilisateur local non privilégié d'obtenir des privilèges root grâce à une corruption contrôlée du cache de pages.

Détails de la vulnérabilité #

CVE:CVE-2026-46300
Nom: Fragnesia
Type: Élévation des privilèges locaux
Composant affectéNoyau Linux XFRM ESP-in-TCP
Vecteur d'attaque: Locale
Privilèges requis: Faible
Interaction de l'utilisateur: Aucun
Impact : Élévation de privilèges root

Description technique #

La vulnérabilité réside dans la gestion de la vulnérabilité par le noyau Linux. ESP-in-TCP (XFRM/IPsec) lors de conditions spécifiques de traitement des paquets impliquant : splice(), sendfile(), les références au cache de pages et le traitement des paquets ESP/XFRM, car le noyau peut manipuler incorrectement la mémoire partagée du cache de pages, permettant une modification contrôlée des fichiers mis en cache en lecture seule.

Les chercheurs ont même démontré la possibilité d'écraser le contenu mis en cache de /usr/bin/su pour obtenir les privilèges root sans modifier le fichier lui-même sur le disque.

Lien avec Dirty Frag #

La fragnesia est considérée comme faisant partie de la Classe de vulnérabilité Dirty Frag et affecte la même surface réseau du noyau Linux : traitement XFRM, ESP et IPsec.

En fait, les chercheurs ont indiqué que la vulnérabilité est devenue accessible après qu'un des correctifs de Dirty Frag a exposé un chemin de code connexe.

RELIANOID Étude d'impact #

Réglage par défaut RELIANOID Les installations d'équilibrage de charge sont considérées comme présentant un faible risque car :

  • RELIANOID n'utilise pas par défaut la fonctionnalité vulnérable
  • Les modules ESP/XFRM ne sont pas requis pour les opérations standard d'équilibrage de charge/CAN.
  • Les fermes HTTP/HTTPS/TCP/UDP classiques ne sont pas affectées.

impact du module VPN/IPsec #

RELIANOID environnements utilisant Réseau > VPN or VPN basé sur IPsec Cette fonctionnalité peut charger dynamiquement les modules du noyau Linux concernés. Les modules potentiellement affectés incluent : esp4, esp6, xfrm_user et xfrm_algo.

Par conséquent, le risque par RELIANOID La fonctionnalité est la suivante :

Équilibrage de charge standard: Faible
Fermes HTTP/HTTPS Low
Fermes L4: Faible
GSLB: Faible
IPDS: Faible
Module VPN IPsec: Potentiellement affecté

Comment vérifier les modules concernés #

Vérifiez si les modules vulnérables sont chargés :

lsmod | egrep 'esp4|esp6|xfrm'

Exemple de sortie vulnérable :

esp4 esp6 xfrm_user

Si aucun module n'est affiché, cela signifie que la fonctionnalité vulnérable n'est pas active actuellement.

Vérifier l'utilisation active d'IPsec #

Vous pouvez également consulter les politiques IPsec/XFRM actives :

état de la transaction IP, politique de transaction IP

Si ce champ est vide, il est probable que le protocole IPsec ne soit pas utilisé.

Mesures d'atténuation temporaires #

Si la fonctionnalité VPN IPsec n'est PAS requise, les modules concernés peuvent être désactivés.

Créer:

/etc/modprobe.d/fragnesia.conf

avec:

installer esp4 /bin/false installer esp6 /bin/false installer rxrpc /bin/false

Déchargez les modules et videz le cache s'il est déjà actif :

modprobe -r esp4 esp6 xfrm_user xfrm_algo sync; echo 3 > /proc/sys/vm/drop_caches

Cette mesure d'atténuation est la même que celle officiellement recommandée pour Dirty Frag.

Avertissement important: N’appliquez PAS cette mesure d’atténuation si RELIANOID utilise activement des tunnels VPN IPsec, le transport ESP ou des services basés sur XFRM. Dans le cas contraire, les services VPN risquent de ne plus fonctionner.

RELIANOID Recommandation #

RELIANOID Il est conseillé aux clients de :

  • Vérifiez si les modules IPsec/XFRM sont actifs.
  • Appliquer les mises à jour dès qu'elles sont disponibles
  • Désactiver les modules ESP/XFRM inutilisés lorsque cela est possible
  • Examinez les logiciels tiers installés sur l'appareil.

Des correctifs pour résoudre cette vulnérabilité seront fournis dans les versions EE > 8.5.

📄 Téléchargez ce document au format PDF #

    E-MAIL: *

    Sécurité accrue. Efforts réduits. Succès durable. Meilleurs Docs