En bref

  • CVE-2026-34179 — escalade de privilèges vers cluster admin dans Canonical LXD, CVSS 9.1 (critique)
  • Versions 4.12 à 6.7 de LXD affectées — exploitation réseau avec privilèges bas
  • Action urgente : mettre à jour LXD vers la version 6.8 ou supérieure

Les faits

Publiée le 9 avril 2026 et identifiée sous le numéro CVE-2026-34179, cette vulnérabilité critique touche Canonical LXD, le gestionnaire de conteneurs et machines virtuelles largement utilisé dans les infrastructures Linux. Avec un score CVSS de 9.1, elle permet à un utilisateur disposant d'un certificat TLS restreint d'escalader ses privilèges jusqu'au niveau administrateur du cluster LXD.

La faille se situe dans la fonction doCertificateUpdate du fichier lxd/certificates.go, responsable du traitement des mises à jour de certificats lors des requêtes PUT ou PATCH envoyées à l'endpoint API /1.0/certificates/{fingerprint}. Le champ Type de la requête entrante n'est pas validé, permettant à un utilisateur restreint de fournir une valeur arbitraire qui contourne les contrôles de sécurité destinés à maintenir son statut restreint.

Cette absence de validation constitue un défaut classique de contrôle d'accès, mais son impact est amplifié par le rôle central de LXD dans la gestion d'environnements conteneurisés en production. Une seconde vulnérabilité connexe, CVE-2026-34178, affecte également le mécanisme de restriction de projets dans les mêmes versions.

Impact et exposition

LXD est déployé dans de nombreuses infrastructures cloud privées, environnements de développement et plateformes de conteneurisation. Un attaquant disposant d'un accès limité (certificat TLS restreint) peut exploiter cette faille pour devenir administrateur complet du cluster. Cela lui permet de créer, modifier ou supprimer n'importe quel conteneur ou machine virtuelle, d'accéder aux volumes de stockage partagés et potentiellement de s'échapper vers l'hôte sous-jacent.

Le vecteur d'attaque est réseau (AV:N), la complexité est faible (AC:L) et seuls des privilèges bas sont nécessaires (PR:L), sans interaction utilisateur. Toutes les versions de LXD de 4.12 à 6.7 sont vulnérables, ce qui représente plusieurs années de déploiements en production. Les environnements multi-tenants où des utilisateurs restreints coexistent avec des administrateurs sont les plus exposés.

Recommandations immédiates

  • Mettre à jour LXD vers la version 6.8 ou supérieure qui corrige la validation du champ Type
  • Auditer les certificats TLS configurés dans le cluster LXD pour identifier les utilisateurs restreints
  • Vérifier les journaux d'accès à l'API /1.0/certificates/ pour détecter des requêtes PUT/PATCH suspectes
  • Restreindre l'accès réseau à l'API LXD aux seules adresses IP de management autorisées
  • Appliquer également le correctif pour CVE-2026-34178 (contournement de restriction de projets) présent dans la même mise à jour

⚠️ Urgence

Avec un CVSS de 9.1 et une exploitation triviale pour tout utilisateur disposant d'un certificat TLS restreint, cette vulnérabilité compromet l'isolation multi-tenant de LXD. Les environnements partagés doivent patcher en priorité — un utilisateur restreint peut devenir admin du cluster complet en une seule requête API.

Comment savoir si je suis vulnérable ?

Vérifiez votre version de LXD avec la commande lxd --version. Si le résultat est compris entre 4.12 et 6.7 inclus, vous êtes vulnérable. Vérifiez ensuite si des certificats TLS restreints sont configurés avec lxc config trust list. Si des entrées de type « restricted » apparaissent, le risque d'escalade est réel et immédiat.

Quelle est la différence entre LXD et LXC face à cette faille ?

LXC est le moteur de conteneurisation bas niveau, tandis que LXD est la couche de management au-dessus. La vulnérabilité CVE-2026-34179 affecte uniquement LXD (le daemon de management et son API REST), pas LXC directement. Cependant, un attaquant qui escalade ses privilèges via LXD obtient le contrôle de tous les conteneurs LXC gérés par ce cluster.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit