Dirtyfrag:通用型 Linux 本機權限提升(LPE)漏洞 (★ 106 分)
Dirty Frag 被研究者 Hyunwoo Kim 公開為一個可在主要 Linux 發行版上把一般本機權限提升為 root 的 LPE(Local Privilege Escalation,本機權限提升)漏洞鏈。原信指出,由於揭露暫緩期已遭第三方打破,當時各發行版尚無修補程式,也尚未有 CVE(Common Vulnerabilities and Exposures,通用弱點與漏洞編號)。研究者在與 linux-distros 維護者溝通後,公開 Dirty Frag 文件與完整 PoC(Proof of Concept,概念驗證)利用程式,並將其影響類比為先前的 Copy Fail。
公開內容顯示,Dirty Frag 串接兩類 Linux 核心問題:一條路徑涉及 ESP4/ESP6(IPsec ESP,Encapsulating Security Payload,IPsec 的封包保護機制)與 xfrm/authencesn;另一條路徑涉及 RxRPC/rxkad(Linux 核心中的 RxRPC 遠端程序呼叫協定與其驗證機制)。攻擊核心概念是造成頁面快取(page cache,檔案內容在記憶體中的快取)被非預期改寫,進而讓系統後續讀取到被竄改的內容;公開程式碼示範的路徑包括讓 /usr/bin/su 的快取內容變成可開啟 root shell 的 setuid-root ELF,或在特定情境下讓 /etc/passwd 的 root 欄位被解讀成空密碼並搭配 PAM(Pluggable Authentication Modules,Linux 驗證框架)的 nullok 行為取得 root。原信建議在修補程式推出前,暫時阻止 esp4、esp6、rxrpc 三個核心模組載入,代價是可能影響依賴 IPsec ESP 或 RxRPC 的功能。
Hacker News 討論補充了揭露時程:4 月 29 日研究者向 security@kernel.org 回報 RxRPC 問題並向 netdev 郵件清單送出修補;5 月 7 日將完整細節交給 linux-distros,原訂 5 天揭露暫緩期,但同日已有無關第三方公開 ESP 相關細節與利用方式,於是研究者在取得發行版維護者同意後全面公開。部分留言批評從回報到公開可取得 root 的操作說明只有約一週,難稱負責任;也有人反駁,暫緩期是被第三方打破,且修補提交本身已公開、漏洞又與 Copy Fail 高度相似,提早公開可讓系統管理者立即採取緩解措施。
社群也提醒,先前針對 Copy Fail 的 algif_aead 黑名單緩解方式不足以防 Dirty Frag,因為 xfrm-ESP 路徑不需要 algif_aead 也可能觸發相同類型的頁面快取寫入問題。有人指出,如果只是測試 PoC 後想清除受污染快取,單純用 sudo 執行 echo 並不能讓 shell 重導向取得 root 權限;若系統已被真正入侵,較保守的做法是重建整個磁碟映像檔,因為本機 root 權限可能已改動任何檔案或植入後門。技術討論則認為,ESP 部分與 Copy Fail 的 authencesn/xfrm 根因非常接近,RxRPC 另屬不同但相似的錯誤;頁面快取污染是很強的攻擊原語,單靠 SUID 防護未必足夠,也有人建議 splice() 這類機制應對不可寫檔案有更嚴格的防禦。
其他討論聚焦於實際風險範圍:這是 LPE,不是 RCE(Remote Code Execution,遠端程式碼執行),攻擊者仍需先能在目標機器上執行一般權限程式碼,但一旦達成就可能取得 root。有人詢問容器逃逸風險,回覆指出若容器內暴露 setuid 程式且宿主核心已載入相關模組,風險會升高,實際影響仍取決於容器隔離與核心設定。也有使用者回報在 Android/Termux 上無法重現,推測與 Android 較強的沙箱、未啟用非特權 user namespace,以及缺少相關核心模組有關。另有一串討論延伸到大型語言模型(LLM,Large Language Model)在漏洞研究中的角色:有人認為 LLM 有助於找出相似錯誤,也有人認為過度依賴問答式工具可能讓研究者少了手動探索程式碼周邊問題的機會。
👥 46 則討論、評論 💬
https://news.ycombinator.com/item?id=48053623