Linux“Dirty Frag”漏洞曝光波及广泛多发行版给出临时修复方案Linux最近几周状况不佳先是AI研究人员发现“Copy Fail”安全漏洞该漏洞的补丁很快就制作并分发了。但新披露的Linux内核漏洞“Dirty Frag”就没这么幸运了这个漏洞似乎也是在AI的帮助下发现的但补丁仍在开发中。ZDNET要点总结- 只要一个账户被攻破“Dirty Frag”漏洞就能让你的系统暴露。- 目前还没有补丁能抵御所有可能的攻击。- 为确保安全你需要屏蔽包括VPN在内的多个服务。安全研究员Hyunwoo Kim于5月7日披露了该问题他将“Dirty Frag”描述为与之前备受瞩目的Linux内核漏洞如2022年的“Dirty Pipe”和“Copy Fail”属于同一类别的扩展。和那些漏洞一样“Dirty Frag”利用了内核代码路径这些路径会写入无特权用户空间可访问的内存页面但它的目标是不同的结构sk_buff网络缓冲区的片段字段。Kim在4月底向Linux内核维护者通报了这个漏洞。不幸的是协调披露和打补丁的过程很快就出了问题。5月7日当各发行版仍在为相关的“Copy Fail”漏洞发布修复程序时由于一个无关的第三方违反保密协议详细的“Dirty Frag”技术信息和针对xfrm - ESP组件的可用概念验证漏洞利用代码出现在了网上。现在大家都陷入了麻烦。什么是“Dirty Frag”“Dirty Frag”是一种本地权限提升漏洞链它利用Linux网络和认证栈中的逻辑漏洞破坏内核页面缓存中的数据使无特权账户能够提升为根权限。它通过针对两个独立的网络子系统来实现IPsec封装安全载荷xfrm - ESP路径编号为CVE - 2026 - 43284和RxRPC认证路径编号为CVE - 2026 - 43500。通过串联这些漏洞攻击者可以修改内存中本应只读、由页面缓存支持的系统文件然后以提升的权限触发它们运行而无需触碰你的文件系统。一旦得手“Dirty Frag”会利用内核快速路径中用于加密网络和远程文件系统认证的“页面缓存写入原语”。攻击者通过精心选择目标可以覆盖内存中表面上只读的文件片段如可执行文件或配置文件然后以根权限执行或重新加载修改后的文件。从这一步开始攻击者几乎可以为所欲为。好消息是攻击者通常需要一个现有的立足点比如通过SSH的无特权shell、Web shell或被攻破的容器才能利用“Dirty Frag”进行权限提升。另一方面由于底层漏洞是逻辑错误而非对时间敏感的竞态条件这种漏洞利用异常可靠失败时也不会导致内核崩溃。换句话说有人可以反复攻击你的Linux系统直到成功入侵而你却一无所知。防御者匆忙评估受影响情况攻击者很快就注意到了这个漏洞。公开的漏洞利用代码迅速在安全博客、GitHub仓库和讨论论坛上传播这让防御者们匆忙评估受影响情况。据微软威胁情报团队称“Dirty Frag”已经被观察到在实际攻击中使用。黑客正在利用它将在Linux系统上的有限立足点提升为对服务器、云工作负载和容器的完全根控制。那么谁面临风险呢很遗憾几乎所有使用任何Linux发行版的人都有风险。“Dirty Frag”影响广泛的Linux环境从裸金属服务器和企业发行版到容器主机和云实例。这包括Ubuntu、Red Hat Enterprise Linux、CentOS Stream、AlmaLinux、Fedora和openSUSE Tumbleweed等当前和早期版本。Ubuntu的母公司Canonical警告称“在可能执行任意第三方工作负载的容器部署中除了主机上的本地权限提升外该漏洞还可能导致容器逃逸。” 这是云原生计算的终极噩梦。幸运的是“目前还没有发布用于容器逃逸的概念验证漏洞利用代码”至少就我们目前所知是这样。Linux内核社区周末解决问题当很多人在庆祝母亲节时Linux内核社区在周末着手解决这个问题。xfrm - ESP组件CVE - 2026 - 43284在5月8日即公开披露后不到24小时就在主线内核中得到了上游修复但这个修复现在需要回传到许多受支持的稳定版本中。RxRPC漏洞CVE - 2026 - 43500仍在评估中。截至撰写本文时还没有确定上游补丁。Linux供应商正在发布自己的公告和更新以集成上游更改。你应立即采取的措施Linux发行商、云服务提供商和托管服务提供商敦促客户在可用时更新到最新的内核包。他们还敦促管理员暂时屏蔽esp4、esp6和rxrpc模块。不过要记住这样做可能会中断IPsec VPN或基于AFS的工作负载但这样会更安全。Debian和Ubuntu相关的Linux发行版Canonical建议采取以下步骤这些步骤适用于Ubuntu及相关Linux发行版如Mint。1. **屏蔽模块**通过创建/etc/modprobe.d/dirty - frag.conf文件来屏蔽模块echo install esp4 /bin/false | sudo tee /etc/modprobe.d/dirty - frag.confecho install esp6 /bin/false | sudo tee -a /etc/modprobe.d/dirty - frag.confecho install rxrpc /bin/false | sudo tee -a /etc/modprobe.d/dirty - frag.conf重新生成initramfs镜像以防止模块在早期启动时加载sudo update - initramfs -u -k all2. **卸载模块**如果模块已经加载卸载它们sudo rmmod esp4 esp6 rxrpc 2/dev/null3. **确认模块未加载**检查模块是否仍在加载grep -qE ^(esp4|esp6|rxrpc) /proc/modules echo Affected modules are loaded || echo Affected modules are NOT loaded如果上述操作表明模块未加载则无需进一步操作。但是如果应用程序已经在使用这些模块可能无法卸载它们。在这种情况下系统重启将强制屏蔽这些模块但会影响应用程序sudo reboot一旦内核更新可用并安装就可以移除缓解措施sudo rm /etc/modprobe.d/dirty - frag.confsudo update - initramfs -u -k allRed Hat及相关Linux发行版Red Hat建议运行以下命令printf install esp4 /bin/false install esp6 /bin/false install rxrpc /bin/false /etc/modprobe.d/dirtyfrag.confrmmod esp4 esp6 rxrpc 2/dev/null; true这种方法需要禁用基于IPsec和AFS的程序也适用于CentOS、Rocky Linux、AlmaLinux和其他与RHEL相关的Linux发行版。SUSE Linux修复方法SUSE有类似的解决方案并对IPsec和AFS有相同的警告。创建/etc/modprobe.d/10 - copyfail2 - fix.conf文件使用以下内容进行修复blacklist esp4blacklist esp6blacklist rxrpcinstall esp4 /bin/falseinstall esp6 /bin/falseinstall rxrpc /bin/false不同发行版的细节可能有所不同但临时修复方法总是相同的使用modprobe配置文件禁用可能受影响的程序直到内核补丁可用并安装。完成后你可以删除紧急修复措施恢复正常使用。在全面的内核修复广泛部署并重启系统之前你应尽快缓解系统风险。毕竟只要有一个用户账户被攻破攻击者就可以利用“Dirty Frag”完全控制你的基础设施。现在不好意思我得去修复一堆服务器和工作站了。其他安全相关内容- 你的Android手机最强大的安全功能默认关闭且隐藏尽快开启。- 随着勒索软件的减少一种更危险的新数字威胁正在兴起。- 你电脑的关键安全证书可能即将过期如何检查。- 如何极度锁定你的iPhone让FBI都无法进入。