GhostLock : faille Linux présente depuis 15 ans

Original : GhostLock, a stack-UAF that has existed in all Linux distributions for 15 years

Pourquoi c'est important

Une faille noyau Linux non privilégiée vieille de 15 ans affectant toutes les distributions est un risque critique.

Nebula Security a révélé GhostLock (CVE-2026-43499), une vulnérabilité stack-UAF du noyau Linux présente dans toutes les distributions majeures depuis 2011. Sans privilège ni configuration spéciale, elle permet une élévation de privilèges stable à 97 % et une évasion de conteneur. Google a récompensé la découverte de 92 337 $ via le programme kernelCTF.

La société Nebula Security a publié le 7 juillet 2026 un rapport technique détaillé sur GhostLock (CVE-2026-43499), une vulnérabilité de type stack Use-After-Free (UAF) découverte par son équipe de recherche VEGA dans le noyau Linux. Cette faille existe dans toutes les distributions Linux majeures depuis 2011, soit depuis plus de 15 ans.

Selon le rapport, GhostLock ne nécessite aucun privilège particulier ni configuration noyau spécifique pour être déclenchée, ce qui en fait une menace particulièrement sérieuse. L'équipe VEGA a développé un exploit atteignant une fiabilité de 97 %, permettant à la fois une élévation de privilèges locale et une évasion de conteneur (container escape).

L'exploit mobilise plusieurs techniques avancées : fuite ASLR par prefetch, contournement de la randomisation via CEA spray, réutilisation de la pile avec PR_SET_MM_MAP, ainsi qu'un pivot vers DirtyMode. Le programme kernelCTF de Google a récompensé cette découverte à hauteur de 92 337 dollars.

Des mesures d'atténuation sont proposées, notamment RANDOMIZE_KSTACK_OFFSET et STATIC_USERMODE_HELPER, en complément du correctif officiel.

Source

nebusec.ai — Lire l'original →