CrackArmor frappe AppArmor : 11 failles critiques dormant depuis 2017 dans le kernel Linux

Qualys TRU a mis au jour une série de vulnérabilités dormantes depuis près de huit ans au cœur du sous-système AppArmor du kernel Linux. Onze identifiants CVE — de CVE-2026-23268 à CVE-2026-23411 — ont été assignés à cette campagne, désignée sous le nom CrackArmor. Les failles affectent aussi bien le code kernel (présentes depuis la version 4.11 de 2017) que les composantes userspace d'AppArmor. Un utilisateur local non-privilégié disposant d'un mot de passe valide peut, en exploitant ces vulnérabilités, contourner les restrictions user-namespace imposées par AppArmor, puis escalader ses privilèges jusqu'à root via une chaîne impliquant su, sudo et Postfix. La recherche mentionne également la possibilité théorique d'une évasion de conteneur Docker, sans toutefois qu'une démonstration pratique ait été produite à ce stade.

Les environnements utilisant AppArmor en conjunction avec Docker — comme l'infrastructure标注 VPS-SECURE — se trouvent doublement exposés. Un attaquant disposant d'un accès SSH ou d'un terminal sur un tel système pourrait théoriquement s'affranchir des isolations fournies par le profil AppArmor et l'environnement conteneurisé. La recherche signale aussi un risque de déni de service par stack overflow kernel. Pour autant, les correctifs sont d'ores et déjà disponibles : le kernel patch pour Ubuntu 24.04 Noble est packagé en version 6.8.0-106.106, et les systèmes à jour tournent déjà sur 6.8.0-110, une version postérieure au correctif, suggérant une protection déjà appliquée par le mécanisme unattended-upgrades.

Si aucune preuve d'exploitation active n'a été documentée à ce jour, la profondeur historique de ces failles et la sophistication de la chaîne d'élévation de privilèges justifient une attention immédiate. Les administrateurs d'infrastructures Linux basadas sur AppArmor doivent vérifier que leurs systèmes ont bien reçu les mises à jour kernel et userspace correspondantes, et évaluer si leurs configurations sudo/Postfix introduces des vecteurs d'escalade supplémentaires.