Introduction
Une vulnérabilité de type élévation de privilèges locale (LPE) a été découverte dans les installations par défaut d'Ubuntu Desktop, versions 24.04 et ultérieures. Cette faille, désignée par CVE-2026-3888, permet à un attaquant local non privilégié d'obtenir des privilèges root complets en exploitant l'interaction entre deux composants système standard : snap-confine et systemd-tmpfiles.
Contexte Technique
La vulnérabilité trouve son origine dans une interaction non intentionnelle entre deux utilitaires privilégiés : snap-confine, qui gère les environnements d'exécution pour les applications snap, et systemd-tmpfiles, qui nettoie automatiquement les fichiers et répertoires temporaires obsolètes. L'exploitation nécessite une fenêtre de temps spécifique (10 à 30 jours), mais aboutit à une compromission complète du système hôte.
snapd est le service en arrière-plan qui gère l'écosystème Snap entier sur Ubuntu. Il s'occupe de la découverte, de l'installation, des mises à jour et de la suppression des packages snap. snapd impose également le modèle de permission qui régit l'accès de chaque snap au système hôte, le rendant à la fois un gestionnaire de packages et un moteur de politique de sécurité.
Analyse et Implications
CVE-2026-3888 est classée comme une vulnérabilité de gravité élevée, avec un score CVSS v3.1 de 7,8 sur 10. Le vecteur d'attaque est local, nécessite une complexité élevée, des privilèges faibles et aucune interaction utilisateur. L'impact est élevé en termes de confidentialité, d'intégrité et de disponibilité.
La vulnérabilité peut être exploitée en manipulant le cycle de nettoyage de systemd-tmpfiles, qui supprime les données obsolètes dans /tmp. Un attaquant peut attendre que le démon de nettoyage système supprime un répertoire critique (/tmp/.snap) requis par snap-confine, puis le recréer avec des charges utiles malveillantes.
Perspective
Les organisations doivent mettre à jour immédiatement les versions du package snapd pour corriger la vulnérabilité. Les versions vulnérables incluent les versions antérieures à 2.73+ubuntu24.04.2 pour Ubuntu 24.04 LTS, antérieures à 2.73+ubuntu25.10.1 pour Ubuntu 25.10 LTS, et antérieures à 2.74.1+ubuntu26.04.1 pour Ubuntu 26.04 LTS (développement).
Une autre vulnérabilité a été découverte dans le package uutils coreutils d'Ubuntu 25.10, qui permet à un attaquant local non privilégié de remplacer des entrées de répertoire par des liens symboliques pendant les exécutions de cron en tant que root. Cette vulnérabilité a été corrigée avant la sortie publique d'Ubuntu 25.10.
