吳明宜研究人員上周公布 Linux 核心新的本地權限升級 (Local Privilege Escalation, LPE) 零時差漏洞,影響自 2017 年以來的多數主要 Linux 系統。
該漏洞被命名為 Dirty Frag,是繼上個月 Copy Fail(CVE-2026-31431) 後,另一個已遭濫用的 Linux 核心 LPE 漏洞。研究人員 Hyunwood Kim 於 4 月 30 日向 Linux 維護團隊通報此問題。
Dirty Frag 由兩個漏洞組成攻擊鏈,正式編號為 CVE-2026-43284 與 CVE-2026-43500,分別存在於 ESP(IPSec) 與 RxRPC 中的頁面快取 (page cache) 寫入原語 (write primitive) 機制。兩者結合後,可讓具本地存取權限的攻擊者繞過核心以 page cache 為基礎的記憶體保護機制,進而破壞敏感檔案並提升至最高 root 權限。
不同於競爭條件 (race condition) 漏洞,這類漏洞的攻擊手法更穩定且破壞性更高。 Dirty Frag 、 Copy Fail,以及更早之前的 Dirty Pipe 皆屬於同類型漏洞。
攻擊者若要成功利用漏洞,需具備相當技術能力,包括存取受影響的核心介面,以及操控核心頁面快取緩衝區 (buffer) 。這些操作通常需要較高系統權限,因此在已進行安全強化的容器環境中,例如採用預設 seccomp 設定的 Kubernetes,遭攻擊機率相對較低;但在存取限制較少的環境,以及虛擬機 (Virtual Machine, VM) 環境中,風險仍然偏高。兩項漏洞的 CVSS 風險評分皆為 7.8 。
受影響的程式碼路徑可追溯至 2017 年的 IPSec ESP(Encapsulating Security Payload) 協定,以及 2023 年的 RxRPC 協定,意味大量 Linux 核心版本均受到波及。目前已知受影響範圍至少包括 Linux 核心 ESP 子系統、 RxRPC 子系統、 Ubuntu 、 RHEL8/9/10 、 CentOS Stream10 、 AlmaLinux8/9/10 、 Fedora 、 openSUSE Tumbleweed,以及可能受影響的 OpenShift4 。
目前網路上已出現概念驗證 (Proof of Concept, PoC) 攻擊程式。本漏洞尚未發布正式修補程式,但已有非官方修補版本可供測試。
用戶可採取以下措施降低風險:
- 停用受影響的核心模組。指令如下:
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"- 評估停用模組可能帶來的影響。停用 esp4 與 esp6 將導致 IPSec 功能失效;停用 rxrpc 則可能影響以 AFS 為基礎的環境。
- 等待正式修補程式。目前 AlmaLinux 測試版已提供早期修補版本。
- 強化本地存取管控,包括限制 Shell 存取、落實最小權限原則、啟用 SELinux 或 AppArmor,以及停用不必要權限,例如 CAP_NET_ADMIN 。
- 檢查是否存在可疑活動,例如異常權限提升行為,或系統函式庫遭未授權修改。
- 若發現遭入侵跡象,可執行以下指令清除 page cache:
echo 3 > /proc/sys/vm/drop_caches消息來源指出,Google 與 Wiz 均已針對此漏洞提出警告與分析。
來源:Google/Wiz