CVE-2026-3888 est une vulnérabilité d’élévation de privilèges qui n’a pas besoin d’être brillante pour être dangereuse. Elle n’exploite aucun bug mémoire, aucune corruption de heap. Elle attend, simplement. Et au bout de 10 à 30 jours, elle offre l’accès root complet à n’importe quel attaquant local.
Découverte par la Qualys Threat Research Unit (TRU) et divulguée publiquement le 17 mars 2026, CVE-2026-3888 est une vulnérabilité de type Local Privilege Escalation (LPE) affectant les installations par défaut d’Ubuntu Desktop à partir de la version 24.04 LTS.
Les deux composants en cause :
snap-confine
snap-confine est le programme chargé d’initialiser l’environnement d’exécution de chaque application Snap. Il met en place l’isolation via les namespaces Linux (permettant de cloisonner des ressources spécifiques du système). Pour accomplir ces tâches de confinement bas niveau, il s’exécute avec des privilèges root. C’est précisément ce niveau de confiance qui en fait une cible de choix.
systemd-tmpfiles
systemd-tmpfiles gère le cycle de vie des répertoires volatils (/tmp, /run, /var/tmp). Il les crée au démarrage avec les bonnes permissions et les nettoie périodiquement en supprimant les fichiers inactifs depuis trop longtemps. Sa configuration se trouve dans des fichiers sous /etc/tmpfiles.d/ et /usr/lib/tmpfiles.d/.
Ces deux composants sont bien conçus, bien documentés, et font leur travail correctement. La faille naît de leur interaction involontaire : un comportement tout à fait normal de l’un crée une fenêtre d’opportunité exploitable pour l’autre.
Comment se protéger ?
Des correctifs sont disponibles. La procédure est simple :
# Mettre à jour les paquets système (inclut snapd) $ sudo apt update && sudo apt upgrade -y
# Vérifier la version de snapd installée $ snap version
# Redémarrer le système pour appliquer complètement le patch $ sudo rebootSi vous avez activé unattended-upgrades, votre système a probablement déjà reçu le patch dans les 24 heures suivant sa disponibilité.
Vous pouvez le vérifier avec :
$ snap version | grep snapd
