La Qualys Threat Research Unit (TRU) a découvert et publié l'advisory complet pour CVE-2026-46333, une faille logique dans la fonction __ptrace_may_access() du noyau Linux. Elle permet à un utilisateur local non privilégié de lire des fichiers sensibles et d'exécuter des commandes arbitraires en root sur des installations par défaut de plusieurs distributions majeures. Le code vulnérable est présent dans le noyau principal depuis novembre 2016 (v4.10-rc1), soit neuf ans d'exposition sur des parcs enterprise, des images cloud et des hôtes de conteneurs. Tous les détails techniques sont disponibles via l'advisory publié par Qualys TRU.
La faille est locale. Ce qualificatif tend à rassurer à tort les équipes qui hiérarchisent leurs patches en fonction de la surface d'attaque réseau exposée. Ici, la distinction entre un accès non privilégié et une compromission totale de l'hôte s'effondre complètement. Un compte développeur compromis via phishing, un runner CI contraint, un compte de service à faibles droits ou un hôte multi-tenant partagé : chacun de ces points d'entrée courants mène directement à root.
Le mécanisme est précis. La vulnérabilité exploite une fenêtre temporelle dans laquelle un processus privilégié en train de réduire ses credentials reste accessible via les opérations de la famille ptrace, alors que le flag dumpable aurait dû fermer ce chemin. En combinant cette fenêtre avec le syscall pidfd_getfd(), introduit dans la v5.6-rc1 en janvier 2020, un attaquant peut capturer des descripteurs de fichiers ouverts et des canaux inter-processus authentifiés depuis un processus privilégié mourant, puis les réutiliser sous son propre uid. Le primitif est qualifié de fiable par Qualys TRU.
Quatre exploits fonctionnels ont été développés et circulent désormais publiquement. Ils couvrent respectivement la lecture de /etc/shadow via chage, l'exfiltration des clés privées SSH de l'hôte sous /etc/ssh/*_key via ssh-keysign, l'exécution de commandes arbitraires en root via pkexec (y compris pour un attaquant connecté à distance par SSH si une session active est présente à la console), et l'exécution de commandes arbitraires en root via accounts-daemon par détournement de connexions dbus vers systemd. Qualys précise explicitement que ces quatre vecteurs ne constituent pas un inventaire exhaustif : d'autres binaires set-uid, set-gid, fichiers à capabilities, ou daemons root peuvent être exploitables par le même primitif.
Versions du noyau. Toute installation exécutant un noyau Linux issu de la branche principale depuis v4.10-rc1 (novembre 2016). L'exploitation de la chaîne complète via pidfd_getfd() nécessite un noyau v5.6-rc1 ou supérieur (janvier 2020).
Distributions confirmées dans les tests. Debian 13. Ubuntu 24.04 et Ubuntu 26.04. Fedora 43 et Fedora 44. Les tests ont été effectués sur des installations par défaut — aucune configuration spéciale n'est requise pour être vulnérable.
Vecteurs testés par distribution. Les exploits chage (lecture de /etc/shadow) ont été validés sur Debian 13, Ubuntu 24.04, Ubuntu 26.04, Fedora 43 et Fedora 44. L'exploit ssh-keysign (exfiltration de clés privées SSH) a été validé sur Debian 13, Ubuntu 24.04 et Ubuntu 26.04. Les exploits pkexec et accounts-daemon ont été validés sur Debian 13, Fedora Workstation 43 et 44, ainsi qu'Ubuntu Desktop 24.04 et 26.04.
Contextes à risque élevé. Hôtes multi-tenants, infrastructures CI/CD avec runners partagés, environnements cloud où des comptes de service à faibles droits coexistent avec des processus root. L'exposition historique de neuf ans signifie que des images système construites depuis 2016 et jamais renouvellement patchées intègrent la faille.
Appliquer immédiatement les mises à jour noyau distribuées. Le patch a été commis publiquement le 14 mai 2026 après signalement de Qualys au contact sécurité du noyau Linux le 11 mai 2026. Les distributions Debian, Ubuntu et Fedora ont publié leurs packages. Appliquer sans délai via le gestionnaire de packages standard (apt upgrade ou dnf upgrade selon la distribution) et redémarrer pour activer le nouveau noyau.
Identifier les hôtes exposés avec les QID Qualys. Qualys TRU a publié une couverture de détection pour CVE-2026-46333 via leurs QID dédiés. Si vous disposez d'une instance Qualys VMDR ou d'un scanner compatible, lancer un scan authentifié sur l'ensemble du parc Linux pour identifier les systèmes non patchés en priorité avant tout autre travail de remédiation.
Auditer les binaires set-uid, set-gid et à capabilities sur les hôtes critiques. Qualys précise que les quatre exploits publiés ne couvrent pas l'intégralité de la surface exploitable. Sur vos hôtes les plus sensibles, exécuter find / -perm -4000 -o -perm -2000 -o -perm /111 -type f 2>/dev/null pour inventorier les binaires potentiellement concernés. Cet inventaire sert de base de risque même une fois le patch appliqué.
Traiter la compromission des clés SSH hôte comme une hypothèse de travail. Si des hôtes Debian 13, Ubuntu 24.04 ou Ubuntu 26.04 ont été exposés à des utilisateurs non entièrement maîtrisés (comptes partagés, accès externe, CI), les clés sous /etc/ssh/*_key doivent être considérées comme potentiellement exfiltrées. Régénérer ces clés (ssh-keygen sur les fichiers concernés), mettre à jour les known_hosts côté clients et révoquer les accès basés sur l'ancienne empreinte.
Restreindre ptrace en attendant ou en complément du patch. Sur les systèmes où le redémarrage immédiat est impossible, évaluer la restriction du scope ptrace via le paramètre /proc/sys/kernel/yama/ptrace_scope (valeur 1 ou supérieure selon le profil de sécurité Yama). Cette mesure réduit la fenêtre exploitable sans garantir une mitigation complète — elle ne remplace pas le patch noyau.
Oui, dans un cas précis. L'exploit via pkexec est utilisable par un attaquant connecté à distance par SSH, à condition qu'une session active soit présente à la console de la machine cible. Les autres vecteurs (chage, ssh-keysign, accounts-daemon) nécessitent un shell local non privilégié sur le système.
Oui. La faille réside dans le noyau Linux hôte. Qualys mentionne explicitement les images cloud et les hôtes de conteneurs comme concernés par l'exposition historique. Tout environnement partageant un noyau vulnérable, y compris via des runners CI/CD ou des hôtes multi-tenants, est dans le périmètre.
Aucun IoC spécifique n'a été publié dans les sources disponibles au moment de cet article. La détection repose sur l'identification des systèmes non patchés via scan authentifié et sur la surveillance des accès ptrace et des appels pidfd_getfd() dans les logs système et les outils EDR compatibles Linux.
La faille logique dans __ptrace_may_access() est présente depuis v4.10-rc1 (novembre 2016). Le primitif d'exploitation reposant sur pidfd_getfd() n'est réalisable qu'à partir de v5.6-rc1 (janvier 2020). L'exposition précédant 2020 existe mais les vecteurs d'exploitation décrits par Qualys nécessitent le syscall introduit en 2020.
Sources : Qualys Threat Research Unit
