漏洞概述

2026年5月13日，Linux内核被曝存在一个本地提权（LPE）漏洞，暂未分配CVE ID，被命名为“Fragnesia”。该漏洞影响多个Linux发行版，包括所有Ubuntu版本，主要涉及支持ESP（封装安全协议）的内核模块，这些模块同样曾受“Dirty Frag”漏洞波及。因此，针对“Dirty Frag”的缓解措施同样能防护Fragnesia，因其通过禁用受影响的内核模块实现防护。

尽管漏洞暂未在CVE或NVD平台获得评分，但Canonical评估其CVSS 3.1得分为7.8，属于高严重级别。

本文将介绍禁用受影响模块的缓解方案，适用于内核补丁发布前的临时防护。

影响范围

无容器工作负载的部署

在未运行容器工作负载的主机中，漏洞允许本地用户提升至root权限，已公开的利用代码针对此类部署。

容器部署场景

在可能执行任意第三方工作负载的容器环境中，漏洞除导致主机本地提权外，还可能引发容器逃逸。目前暂未发布容器逃逸的PoC利用代码。

缓解措施的风险

缓解措施通过禁用IPsec ESP相关的内核模块实现。若这些模块被VPN（如StrongSwan）等IPsec部署使用，启用缓解将影响相关功能。

受影响的发行版本

漏洞修复将通过Linux内核镜像包分发。在补丁发布前，可通过禁用模块的缓解措施临时防护。若已应用“Dirty Frag”的缓解措施，系统不受Fragnesia影响。

发行版本	包名	修复状态
Trusty Tahr (14.04 LTS)	linux	受影响
Xenial Xerus (16.04 LTS)	linux	受影响
Bionic Beaver (18.04 LTS)	linux	受影响
Focal Fossa (20.04 LTS)	linux	受影响
Jammy Jellyfish (22.04 LTS)	linux	受影响
Noble Numbat (24.04 LTS)	linux	受影响
Questing Quokka (25.10)	linux	受影响
Resolute Raccoon (26.04 LTS)	linux	受影响

如何检查是否受影响

上述表格中的所有发行版均受影响，除非已应用“Dirty Frag”的缓解措施。

手动缓解步骤

缓解措施通过阻止受影响模块加载实现，需完成以下三步：

1. 防止模块未来加载；
2. 卸载已加载的模块；
3. 确认卸载成功，若失败则重启系统。

“Dirty Frag”的缓解措施同样会阻止这些模块，同时应用两者无冲突但非必要。建议保留缓解措施，直至内核安全更新安装完成。

步骤1：阻止模块加载

创建配置文件阻止模块加载：

echo "install esp4 /bin/false" | sudo tee /etc/modprobe.d/fragnesia.conf
echo "install esp6 /bin/false" | sudo tee -a /etc/modprobe.d/fragnesia.conf

重建initramfs镜像，防止模块在早期启动时加载：

sudo update-initramfs -u -k all

步骤2：卸载模块

若模块已加载，执行卸载操作：

sudo rmmod esp4 esp6 2>/dev/null

步骤3：确认模块未加载

检查模块是否仍在加载：

grep -qE '^(esp4|esp6) ' /proc/modules && echo "受影响模块已加载" || echo "受影响模块未加载"

若模块未加载，无需进一步操作。若卸载失败（因应用使用），需重启系统强制阻止，但可能影响应用运行：

sudo reboot

禁用缓解措施

当内核更新安装后，可移除缓解措施：

sudo rm /etc/modprobe.d/fragnesia.conf
sudo update-initramfs -u -k all

注意：为恢复IPsec功能，需同时移除Fragnesia和“Dirty Frag”的缓解措施，允许ESP模块加载。

---

关注微信号：智享开源 ，可及时获取信息

原文链接：https://ubuntu.com//blog/fragnesia-linux-vulnerability-fixes-available

投稿作者	作者网站

---

请支持IMCN发展！

谁在捐赠

微信捐赠	支付宝捐赠