Dirty Frag: 分析新的 Linux Root 漏洞 (CVE-2026-43284)

Dirty Frag: 分析新的 Linux Root 漏洞 (CVE-2026-43284)

Linux 伺服器世界在短短八天內遭到了兩個關鍵的 root 漏洞攻擊。繼 Copy Fail 帶來的衝擊之後,一個名為 "Dirty Frag" (CVE-2026-43284) 的新漏洞出現了,它為任何能夠在目標伺服器上執行程式碼的人提供了通往 root 權限的可預測路徑。

這個漏洞特別危險,因為它並非基於競態條件 (race condition),而是基於核心如何處理記憶體的邏輯缺陷,這使得該漏洞利用程式極其可靠且易於執行。

理解 Dirty Frag

Dirty Frag 並非單一漏洞,而是一個結合了兩個 Linux 核心漏洞的鏈式漏洞利用:CVE-2026-43284CVE-2026-43500

技術根本原因

CVE-2026-43284 漏洞的核心在於 Linux 核心的 IPsec/ESP 路徑。具體來說,當使用 MSG_SPLICE_PAGES 將來自 pipe 的頁面直接附加到網路緩衝區 (skb) 時,IPv4/IPv6 資料報路徑未能將這些頁面標記為共享。

正因為如此,從共享 pipe 頁面建立的 ESP-in-UDP 封包在核心眼中看起來像是私有擁有的緩衝區。因此,核心會在原地進行 ESP 解密,直接寫入到 skb 實際上並不擁有的記憶體中。這使得攻擊者能夠實現對核心頁面快取 (page cache) 的受控寫入,進而利用此特性將權限提升至 root。

確定性 vs. 競態條件

與先前知名的 DirtyPipe 等漏洞利用程式不同,Dirty Frag 是一個具備確定性的邏輯缺陷。根據研究員 Hyunwoo Kim 的說法,該漏洞利用程式具有非常高的成功率,且造成核心恐慌 (kernel panic) 的風險極低。它不需要「時機窗口」來觸發,這使得它比許多其他的本地權限提升 (LPE) 漏洞更具可靠性。

與 Copy Fail 的關聯

Dirty Frag 遵循與 Copy Fail (CVE-2026-31431) 類似的模式,後者於 4 月 29 日披露。這兩個漏洞都利用頁面快取寫入原語 (page cache write primitive) 來實現 root 權限提升。

雖然 Copy Fail 針對的是加密子系統(特別是 authencesn AEAD 模板),但 Dirty Frag 針對的是 IPsec 接收路徑。安全社群已開始將 CVE-2026-43284 稱為 "Copy Fail 2.0",因為它代表了一種可重複的攻擊類別,而非單一事件。

至關重要的是,CVE-2026-43284 與 CVE-2026-43500 的組合涵蓋了各自單一缺陷的盲點;單個漏洞本身無法提供足夠可靠的權限提升原語,但兩者結合在一起,就能在大多數發行版上立即獲得 root 權限。

影響範圍與受影響系統

幾乎所有 2017 年以後構建的 Linux 核心都受到影響。這包括主要的發行版,例如:

  • Red Hat Enterprise Linux (RHEL)
  • AlmaLinux (版本 8, 9, 以及 10)
  • Debian
  • Ubuntu
  • Fedora
  • Arch Linux
  • CentOS
  • CloudLinux
  • Amazon Linux

威脅向量

需要澄清的是,Dirty Frag 是一種 本地 權限提升。攻擊者必須首先在系統上取得立足點——可能是透過有漏洞的 WordPress 外掛程式、web shell,或是遭入侵的 SSH 憑證。然而,一旦取得初始進入點,Dirty Frag 就能讓攻擊者立即從低權限使用者提升至 root,使他們能夠停用安全工具、竄改日誌,並在網路中進行橫向移動。

修復與緩解措施

主要修復:核心更新

唯一的決定性解決方案是更新核心並重新啟動伺服器。已修復的內核版本已於 2026 年 5 月 8 日左右發布。

對於 RHEL-based 系統 (AlmaLinux, Rocky, CentOS Stream):

sudo dnf clean metadata && sudo dnf upgrade
sudo reboot

對於 Debian/Ubuntu 系統:

sudo apt update && sudo apt upgrade
sudo reboot

過渡期緩解措施

如果無法立即重新啟動,您可以阻止受影響的模組載入。警告: 這將會破壞依賴 esp4esp6 的 IPsec VPN 隧道與 Kubernetes 網路策略。

printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf
rmmod esp4 esp6 rxrpc 2>/dev/null
echo 3 > /proc/sys/vm/drop_caches

最終思考

在八天內連續出現兩個通用的 LPE 漏洞,凸顯了漏洞 landscape 的漏洞格局的關鍵轉變。Dirty Frag 的披露過程因第三方洩露漏洞利用細節而變得更加複雜,迫使了過早的公開披露。 n 由於一些社群成員指出,AI 驅動的漏洞研究可能正在加速這些缺陷的發現。無論這是「無限 AEyes」觀察原始碼的結果,還是更複雜的自動化技術,現實是,從發現到被利用的窗口期現在是以小時來計算的。核心更新必須被視為緊急安全補丁,而非例行性的維護工作。

Sources