Linux 内核现严重本地提权漏洞,全主流发行版暂无补丁
一名安全研究人员本周公开披露了一个被命名为”Dirty Frag”的 Linux 内核本地权限提升漏洞。该漏洞允许普通用户无需密码即可获得系统最高权限(root),且目前 Ubuntu、RHEL、Fedora、openSUSE 等全部主流发行版均尚无可用补丁。
该漏洞由韩国安全研究员 Hyunwoo Kim(网名 @ v4bel)发现并报告。POC 已于 2026 年 5 月 7 日在 GitHub 公开,任何人均可通过单行命令完成编译并执行。
漏洞源自脏写入了零拷贝路径,由两个独立模块链式组合后构成。具体可参考:
Dirty Frag 属于与 Dirty Pipe(CVE-2022-0847)和 Copy Fail 相同的漏洞类——零拷贝发送路径上,splice()将攻击者只有读权限的 page cache 页直接钉入 struct sk_buff 的 frag 槽,而接收侧内核代码对该 frag 执行原地(in-place)加密/解密,导致只读 page cache 被写入。
其一利用 IPsec ESP 模块(存在约 9 年,自 2017 年起受影响),可将 /usr/bin/su 替换为恶意程序,需要创建用户命名空间的权限;其二利用 RxRPC 协议模块(自 2023 年起受影响),可清空 /etc/passwd 中 root 的密码字段,完全无需任何特殊权限。两个变体互相覆盖对方的限制,使得单一攻击程序可在几乎所有主流 Linux 发行版上通用。
上游 Linux 内核已于 5 月 7 日合并了针对 ESP 模块的修复补丁,但 RxRPC 模块的补丁尚未合并。由于协调披露期间遭第三方抢先公开,各发行版未能按计划准备 backport,导致当前所有发行版内核均处于无补丁状态,CVE 编号亦尚未分配。
被破坏的披露流程:
2026-04-29/30:作者向 security@kernel.org 提交漏洞和补丁
2026-05-07:作者向 linux-distros 提交,设定 5 天 embargo
2026-05-07 同日:不相关的第三方将 exploit 公开至互联网,embargo 被打破
2026-05-07:作者与发行版维护者协商后,决定全面公开 Dirty Frag 文档
官方建议的缓解措施:
printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' \
> /etc/modprobe.d/dirtyfrag.conf
此操作对不使用 IPsec 或 AFS 的普通服务器无功能影响。
GitHub
🌸 在花频道 · 茶馆讨论 · 投稿通道