Linux Kernel "Dirty Frag" 本地权限提升漏洞风险通告
摘要
阿里云安全监测到 Linux Kernel 存在一个本地权限提升漏洞,代号"Dirty Frag"(暂无完整 CVE 编号)。该漏洞允许本地无特权攻击者通过组合利用 xfrm-ESP(CVE-2026-43284)与 RxRPC 两个页缓存写入缺陷,在无需竞争条件的情况下于主流 Linux 发行版上获取 root 权限。 阿里云安全建议您尽快开展自查,若在受影响范围内,请及时更新修复,防止被攻击者利用后导致入侵。 漏洞详情 Linux Kernel 是全球使用最广泛的开源操作系统内核,承担硬件管理、进程调度、内存管理、文件系统及网络通信等底层核心功能。该
正文
阿里云安全监测到 Linux Kernel 存在一个本地权限提升漏洞,代号"Dirty Frag"(暂无完整 CVE 编号)。该漏洞允许本地无特权攻击者通过组合利用 xfrm-ESP(CVE-2026-43284)与 RxRPC 两个页缓存写入缺陷,在无需竞争条件的情况下于主流 Linux 发行版上获取 root 权限。 阿里云安全建议您尽快开展自查,若在受影响范围内,请及时更新修复,防止被攻击者利用后导致入侵。 漏洞详情 Linux Kernel 是全球使用最广泛的开源操作系统内核,承担硬件管理、进程调度、内存管理、文件系统及网络通信等底层核心功能。该漏洞的根因在于 xfrm-ESP(esp4/esp6)与 RxRPC(rxrpc)模块存在缺陷,攻击者可构造特定网络数据包,触发内核向任意可读文件(如 setuid 二进制)的页缓存中写入受控的数据。通过将两个漏洞组合使用,攻击者可绕过常规的权限管控,在任何主流发行版上实现本地提权。 目前该漏洞的技术细节及 PoC 已公开披露。 风险等级 高风险 影响版本 commit cac2661c53f3 <= Linux Kernel (xfrm-ESP) < commit f4c50a4034e6 Linux Kernel (RxRPC) >= commit 2dc334f1a63a 目前已知受影响操作系统及版本: Ubuntu 24.04.4 Red Hat Enterprise Linux 10 CentOS 10 AlmaLinux 10 Fedora 44 openSUSE Tumbleweed Alinux 各版本受影响情况如下: Alinux 2 Alinux 3 Alinux 4 Alinux 内核默认只以 module 形式编译了 XFRM-ESP 模块(CONFIG_INET_ESP=m),未编译 RXRPC 模块(CONFIG_AF_RXRPC 未设置),因此 Alinux 只受 ESP 攻击路径(xfrm-ESP)影响,RxRPC 攻击路径不受影响 排查方法 检查模块是否已加载 lsmod | grep -E 'esp4|esp6|rxrpc' 检查模块是否为内置(决定缓解措施中的 modprobe 黑名单是否有效) grep -E 'CONFIG_INET_ESP|CONFIG_RXRPC' /boot/config-$(uname -r) #=y 为内置,黑名单无效;=m 为模块,黑名单有效 检查 User Namespace 是否允许(影响 ESP 变体) cat /proc/sys/kernel/unprivileged_userns_clone #1 = 允许(ESP 变体可能可利用);0 = 阻止 修复建议 1.官方已发布针对 CVE-2026-43284 的漏洞补丁,请评估业务是否受影响后,及时更新补丁 2.缓解措施: (1) 将 esp4、esp6、rxrpc 三个模块加入 modprobe 黑名单,阻止自动加载,并立即卸载已加载的模块(如果当前未被使用) sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf" sudo rmmod esp4 esp6 rxrpc 2>/dev/null ||true 注:该缓解措施可能会中断 IPsec(VPN)和 RxRPC(AFS 文件系统),请根据实际业务情况评估。 同时,建议在未运行过漏洞 EXP 的机器上执行该缓解措施,否则可能会存在缓解措施失效的情况。 阿里云已经过POC验证,该缓解措施对Alinux 3、Alinux 4有效。 (2) 通过 sysctl 限制非特权用户创建 User Namespace 来阻断 ESP 变体 sysctl -w user.max_user_namespaces=0 注:该缓解措施会影响容器运行时(Docker、Podman 等依赖 User Namespace 的容器运行时),建议仅在非容器环境中使用。 【备注】:建议您在升级前做好数据备份工作,避免出现意外 漏洞参考 https://github.com/V4bel/dirtyfrag https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4 https://avd.aliyun.com/detail?id=AVD-2026-43284 我们将持续跟踪事态进展,并第一时间同步更新。如有任何疑问,欢迎联系相关技术支持团队,我们将全力协助您完成升级与加固。 阿里云安全团队
标签
- hole_notice
- security
扩展字段
{
"bulletin_type": "security",
"bulletin_type_detail": "hole_notice",
"ext_info": {
"delistLink": "",
"offLineLink": "",
"offLineType": "",
"processInstanceId": "5362d184-ad85-4ea0-80ef-e4a9fcbf4ff0",
"processUrl": "https://bpms.alibaba-inc.com/workdesk/instDetailLegao?__id=inist_detail&procInsId=5362d184-ad85-4ea0-80ef-e4a9fcbf4ff0",
"publishType": "auto",
"refundUrl": "",
"secondaryChangeTypeLabel": "/漏洞通告"
},
"impact_time": "[]",
"impact_time_type": "not-set",
"language": "zh",
"product_code": "",
"product_info": "",
"status": "published"
}