Linux再现高危漏洞"Dirty Frag"，可绕过权限获取Root访问

Linux用户近期再度遭遇严重安全威胁。继上周披露的高危漏洞之后，一个名为"Dirty Frag"的新漏洞又被曝光，该漏洞允许低权限用户（包括虚拟机用户）获取服务器的Root控制权，在共享服务器环境中尤为危险。此外，只要攻击者能通过其他方式获得系统的初步访问权限，便可借助该漏洞进一步提升至Root权限。目前，该漏洞的利用代码已在网络上泄露，且可在几乎所有Linux发行版上稳定运行。微软表示，已发现黑客在真实环境中尝试利用该漏洞的迹象。

已泄露的利用代码具有确定性，即每次运行时行为完全一致，且不会导致系统崩溃，隐蔽性极强。上周披露、目前尚无补丁的"Copy Fail"漏洞也具备相同特征。

安全公司Aviatrix的研究人员表示："'Dirty Frag'漏洞对Linux系统构成即时且重大的威胁，攻击者可利用未修补的内核缺陷获取Root访问权限。目前已有概念验证利用代码公开，并出现有限的在野利用迹象，各组织必须迅速行动，应用补丁并实施缓解措施。"

Dirty Frag由研究员Hyunwoo Kim于上周晚些时候发现并披露。该漏洞将两个已追踪编号的漏洞（CVE-2026-43284和CVE-2026-43500）的利用代码串联使用。披露后不久，相关关键细节遭他人泄露，漏洞实际上已成为零日漏洞。随后，Kim公开了他所开发的概念验证利用代码的源代码。尽管Linux内核已针对这两个漏洞发布了修复，但各发行版均尚未整合该修复。

截至本文发布时，Debian、AlmaLinux和Fedora等多个发行版已发布补丁，其他发行版用户应向官方提供商确认更新情况。

这两个权限提升漏洞均源于内核处理内存中页面缓存时存在的缺陷，允许不受信任的用户对其进行修改。CVE-2026-43284针对esp4和esp6进程，CVE-2026-43500则针对rxrpc进程。上周的CopyFail漏洞则利用了authencesn AEAD模板进程中的页面缓存缺陷。2022年的"Dirty Pipe"漏洞同样源于允许攻击者覆写页面缓存的缺陷。

安全公司Automox的研究人员指出，Dirty Frag与Dirty Pipe、Copy Fail同属一类漏洞，但其攻击目标是内核struct sk_buff结构体中的frag成员，而非pipe_buffer。该漏洞利用splice()将只读页面缓存页面（如/etc/passwd或/usr/bin/su）的引用植入发送端skb的frag槽位，接收端内核代码随后对该frag执行就地加密操作，从而在内存中修改页面缓存。此后，即便攻击者仅拥有读取权限，对文件的所有后续读取都将看到被篡改的内容。

CVE-2026-43284存在于IPsec ESP接收路径的esp_input()进程中，当skb对象为非线性且缺少frag列表时，代码会跳过skb_cow_data()并在植入的frag上就地解密AEAD，攻击者由此可控制文件偏移和每次写入的4字节值。

CVE-2026-43500则存在于rxkad_verify_packet_1()中，该进程使用单块处理方式解密RxRPC负载，经splice固定的页面同时充当源和目标。加之解密密钥可通过add_key（rxrpc）自由提取，攻击者得以改写内存中的内容。

单独使用其中一个漏洞时可靠性较低。部分Ubuntu配置启用了AppArmor，可阻止不受信任的用户创建命名空间内容，从而使ESP技术失效；而大多数其他发行版默认不运行rxrpc.ko，这使RxRPC路径失效。然而，当两个漏洞串联使用时，攻击者可在Kim测试的所有主流发行版上获取Root权限，并可通过SSH访问、Web Shell执行、容器逃逸或低权限账户入侵等方式展开进一步攻击。

微软研究人员表示："Dirty Frag值得关注，因为它引入了多条涉及rxrpc和esp/xfrm网络组件的内核攻击路径，以提高利用的可靠性。与通常依赖狭窄时间窗口或不稳定破坏条件的Linux本地权限提升漏洞不同，Dirty Frag似乎专为在脆弱环境中提高一致性而设计。"

谷歌旗下安全公司Wiz的研究人员表示，在启用默认安全设置的Kubernetes等经过强化的容器环境中，该漏洞的利用可能性较低，"但对于虚拟机或限制较少的环境而言，风险依然显著"。

对于所有Linux用户而言，最佳应对措施是立即安装补丁。尽管修复可能需要重启系统，但面对Dirty Frag这一严重威胁，防护价值远超中断带来的代价。暂时无法安装补丁的用户，应按照相关披露文章中列出的缓解步骤进行操作。

Q&A

Q1：Dirty Frag漏洞是什么？有多危险？

A：Dirty Frag是一个Linux内核高危漏洞，由CVE-2026-43284和CVE-2026-43500两个漏洞串联构成。它允许低权限用户获取服务器Root控制权，利用代码已公开泄露，可在几乎所有主流Linux发行版上稳定运行，且不会导致系统崩溃，隐蔽性极强。微软已发现黑客在真实环境中尝试利用该漏洞。

Q2：Dirty Frag漏洞目前有补丁吗？哪些发行版已修复？

A：目前Debian、AlmaLinux和Fedora已发布对应补丁。Linux内核本身已修复这两个漏洞，但各发行版整合进度不同。建议用户立即向自己所用发行版的官方提供商确认补丁状态并尽快安装，暂时无法更新的用户应参考安全公告中的缓解措施。

Q3：Dirty Frag和Dirty Pipe是同一类漏洞吗？有什么区别？

A：两者同属页面缓存类漏洞，均允许攻击者篡改本应只读的内核页面缓存。但Dirty Frag攻击的是内核struct sk_buff结构体中的frag成员，而Dirty Pipe针对的是pipe_buffer。Dirty Frag还通过串联两条不同的攻击路径（rxrpc和esp/xfrm），显著提升了跨发行版利用的可靠性。