Aller au contenu
Kreomnis.Vigie
CVE-2026-46333Élevée7.8

Noyau Linux (ssh-keysign-pwn) : élévation locale vers root et fuite de secrets

Publiée le 11/06/2026// Kreomnis
CVSS 3.1
7.8
EPSS : probabilité d'exploitation
-
Source : FIRST.org, modèle EPSS v3
Produits/versions affectés
  • Noyau Linux (mainline depuis v4.10) : SUSE, RHEL, Debian, Ubuntu...

Le contexte

CVE-2026-46333 (surnommée ssh-keysign-pwn) est une faille de logique / race condition dans la fonction __ptrace_may_access() du noyau Linux. Elle permet à un utilisateur local non privilégié de divulguer des fichiers sensibles et d'exécuter des commandes en root sur les installations par défaut de plusieurs distributions majeures, dont SUSE Linux Enterprise, mais aussi RHEL, Debian, Ubuntu.

Le bug réside dans la mainline depuis novembre 2016 (v4.10-rc1) : autrement dit, un parc Linux installé de longue date est presque certainement concerné. Des exploits fonctionnels circulent publiquement ; les correctifs upstream et distributions (dont SUSE) sont déjà disponibles.

La mécanique

La faille est une condition de course liée à la terminaison de processus. Quand un processus privilégié se termine, il existe une brève fenêtre où son contexte mémoire est nettoyé mais ses descripteurs de fichiers restent ouverts.

Un utilisateur local non privilégié exploite ce timing via des appels système comme pidfd_getfd() pour récupérer les descripteurs de fichiers ouverts d'un processus privilégié. Conséquences :

  • lecture de fichiers sensibles (/etc/shadow, clés privées SSH...),
  • exécution de commandes en root.

C'est local-only, mais l'impact est sévère : sur un hôte multi-utilisateurs ou après un premier accès limité, c'est le chaînon qui mène à la compromission totale.

Remédiation

  1. Appliquer la mise à jour noyau de votre distribution sans délai. Côté SUSE, déployer l'advisory SUSE-SU correspondant (cf. page SUSE de la CVE) ; côté autres distributions, les paquets noyau corrigés sont disponibles.
# SUSE
zypper refresh && zypper patch
# Debian / Ubuntu
apt update && apt full-upgrade
# RHEL / Rocky / Alma
dnf update kernel
  1. Redémarrer : un patch noyau n'est effectif qu'après reboot (ou kernel live patching si disponible).
  2. Rotation des secrets potentiellement exposés (clés SSH, identifiants) sur les hôtes multi-utilisateurs où un accès local non fiable a pu exister.

Chasse à la compromission

  • Usage anormal de pidfd_getfd() / accès à des descripteurs de processus privilégiés (auditd, télémétrie EDR Linux / HarfangLab).
  • Lectures suspectes de /etc/shadow ou de clés SSH par des comptes non privilégiés.
  • Élévations vers UID 0 non corrélées à une activité administrative légitime.

Ce qu'il faut retenir

Une race condition vieille de près de dix ans dans le chemin ptrace, qui donne root local et expose /etc/shadow et les clés SSH. Local-only ne veut pas dire mineur : c'est le maillon parfait après un accès initial.

Pour les RSSI et équipes Linux :

  • Patch noyau + reboot sur tout le parc, en priorité sur les hôtes multi-utilisateurs et exposés.

  • Déployez une règle de détection (HarfangLab / EDR) sur pidfd_getfd() et les accès aux secrets par comptes non privilégiés.

  • Faites tourner les secrets sur les hôtes où un accès local non fiable était possible.

  • Kreomnis

Références

#linux#kernel#ptrace#lpe#suse#privilege-escalation