Les administrateurs système Linux ont une nouvelle raison de s'inquiéter. Une nouvelle vulnérabilité, baptisée Dirty Frag, a été découverte en ligne. Elle permet aux utilisateurs locaux d'obtenir instantanément les privilèges root sans aucune difficulté. Pire encore, cette vulnérabilité affecte un grand nombre de distributions développées depuis 2017, et au moment de sa divulgation, aucun correctif officiel n'était disponible. Les experts comparent Dirty Frag à la vulnérabilité Copy Fail récemment découverte, qui a provoqué une vive émotion dans le monde des serveurs Linux. Cette nouvelle vulnérabilité exploite un mécanisme similaire lié à la gestion du cache de pages et aux opérations sans copie, mais les experts affirment qu'elle est encore plus dangereuse. L'attaque ne requiert ni conditions complexes ni timing précis. L'exécution d'un simple programme suffit à octroyer à un utilisateur local des privilèges d'administrateur système complets. Le problème a été confirmé sur Ubuntu, Arch Linux, RHEL, Fedora, OpenSUSE, AlmaLinux et CentOS Stream, entre autres. La vulnérabilité est même exploitée dans l'environnement WSL2.

Le problème majeur demeure l'absence de correctifs de sécurité disponibles. D'après les informations disponibles, la vulnérabilité a été signalée à l'équipe de développement du noyau Linux fin avril, mais l'embargo sur la publication a été levé prématurément par un tiers non impliqué. Cela signifie que les détails de la vulnérabilité ont été divulgués en ligne avant que les développeurs n'aient eu le temps de préparer des correctifs. On suppose également que cette faille est peut-être déjà exploitée par des cybercriminels. Heureusement, il existe une solution temporaire pour atténuer ce risque. Le problème est lié aux modules esp4, esp6 et rxrpc, qui gèrent les fonctions IPSec. Sur la plupart des serveurs standards, leur désactivation ne devrait pas impacter les performances du système. Les administrateurs peuvent désactiver les modules en configurant modprobe et en les supprimant de la mémoire du noyau. Il s'agit actuellement de la méthode de protection la plus efficace en attendant la publication des mises à jour de sécurité officielles.