热烈祝贺
Linux内核Dirty Frag高危提权漏洞及缓解方案
2026年5月7日,两个针对Linux内核的本地提权漏洞被公开披露,它们被统称为“Dirty Frag”。其中一项漏洞已被分配编号:CVE-2026-43284,另一项漏洞的CVE编号尚在确认中。这两个漏洞影响的组件是Linux内核模块,具体而言,一个影响提供ESP(封装安全载荷协议)支持的模块,ESP是IPsec(互联网协议安全)所使用的关键协议之一;另一个则影响为RxRPC协议提供支持的模块,该协议主要用于AFS(安德鲁文件系统),一种分布式文件系统。多个Linux发行版受到影响,其中包括所有Ubuntu发行版。
虽然这些漏洞在CVE列表或国家漏洞数据库(NVD)中尚未分配CVSS评分,但Ubuntu的母公司Canonical评估其CVSS 3.1得分为7.8,对应“高危”级别。
本文将详细介绍在相关Linux内核补丁包发布前,可应用的缓解措施,这些措施通过禁用受影响的内核模块来实现。
影响范围
无容器工作负载的部署
在未运行容器工作负载的主机上,该漏洞允许本地用户将权限提升至root用户。已公开的漏洞利用程序正是针对这种类型的部署。
容器化部署
在可能运行任意第三方工作负载的容器化环境中,除了在主机上实现本地提权外,该漏洞还可能引发容器逃逸场景。目前,针对容器逃逸的漏洞利用程序尚未发布。
缓解措施的风险
缓解措施会禁用分别用于IPsec ESP和RxRPC的内核模块。如果您的系统正在使用以下任何一项功能,这些缓解措施将会产生影响:
- IPsec部署。这在如StrongSwan等VPN实现中很常见。
- AFS(安德鲁文件系统)或其他RxRPC应用。
由于这两个漏洞是独立的,仅禁用esp4/esp6模块或仅禁用rxrpc模块,会导致另一部分模块仍可被利用。
受影响的系统版本
漏洞修复将通过Linux内核镜像包分发。在应用补丁前,可以按照以下说明执行缓解措施。一旦内核更新,这些缓解措施便不再必要。
| 发行版 | 包名 | 修复版本 |
|---|---|---|
| Trusty Tahr (14.04 LTS) | linux | 受影响 |
| Xenial Xerus (16.04 LTS) | linux | 受影响 |
| Bionic Beaver (18.04 LTS) | linux | 受影响 |
| Focal Fossa (20.04 LTS) | linux | 受影响 |
| Jammy Jellyfish (22.04 LTS) | linux | 受影响 |
| Noble Numbat (24.04 LTS) | linux | 受影响 |
| Questing Quokka (25.10) | linux | 受影响 |
| Resolute Raccoon (26.04 LTS) | linux | 受影响 |
如何确认是否受影响
上表中列出的所有发行版均受到此漏洞的影响。
手动缓解步骤
缓解措施的核心是阻止受影响的内核模块加载。这通常需要执行以下三个步骤:
- 防止这些模块在未来被加载。
- 卸载当前已加载的模块。
- 确认模块已成功卸载;如果无法卸载,则需重启系统。
步骤一:阻止模块加载
通过创建/etc/modprobe.d/dirty-frag.conf文件来阻止模块加载:
echo "install esp4 /bin/false" | sudo tee /etc/modprobe.d/dirty-frag.conf
echo "install esp6 /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf
echo "install rxrpc /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf然后,更新initramfs镜像,以确保模块在系统早期启动阶段不会被加载:
sudo update-initramfs -u -k all步骤二:卸载已加载的模块
如果模块当前已加载,请执行以下命令将其卸载:
sudo rmmod esp4 esp6 rxrpc 2>/dev/null
步骤三:确认模块已成功卸载
检查模块是否已从内存中移除:
grep -qE '^(esp4|esp6|rxrpc) ' /proc/modules && echo "受影响模块仍在加载" || echo "受影响模块已成功卸载"如果上述命令显示模块已成功卸载,则无需进一步操作。然而,如果模块被某些应用程序占用,可能无法直接卸载。在这种情况下,重启系统将强制执行模块的阻止策略,但这可能会影响正在运行的应用程序:
sudo reboot移除缓解措施
当内核更新包可用并安装后,即可移除缓解措施:
sudo rm /etc/modprobe.d/dirty-frag.conf
sudo update-initramfs -u -k all关注微信号:智享开源 ,可及时获取信息
原文链接:https://ubuntu.com//blog/dirty-frag-linux-vulnerability-fixes-available
| 投稿作者 | 作者网站 |
|---|---|
评论列表
发表评论
你必须 登录 才能发表评论.
为您推荐
请支持IMCN发展!
| 微信捐赠 | 支付宝捐赠 |
|---|---|
 |
 |
IMCN【我是菜鸟】博客全面恢复更新,IMCN【我是菜鸟】博客已于 2026年3月13日 全面恢复内容更新!
国外最新科技信息
归档
imcn成功拥抱人工智能。
Zorin OS 很久没有使用,开箱即用…
elementaryOS 5.0中文版安…
写个桌面启动器创建工具吧
还没有任何评论,你来说两句吧!