Dirty Frag 零日漏洞：一条命令即可获取 Linux root 权限

一个被命名为 "Dirty Frag" 的 Linux 内核新漏洞，允许任何无特权的本地用户在几乎所有主流 Linux 发行版上获取完整的 root 权限，且目前所有厂商均尚未发布补丁。该漏洞于 2026 年 5 月 7 日被公开披露——起因是一名无关第三方提前破坏了协调披露禁令，导致各 Linux 发行版措手不及，只能紧急向用户建议临时缓解措施。

漏洞原理解析

Dirty Frag 由安全研究员 Hyunwoo Kim（@v4bel）发现，它将两个独立的页面缓存写入漏洞串联起来——一个存在于内核的 xfrm-ESP（IPsec）接收路径，另一个存在于 RxRPC 传输层——以此破坏内存中的只读文件并实现权限提升。该技术利用了内核的零拷贝发送路径：splice() 将缓存页的引用植入网络缓冲区的 "frag" 槽位，接收端代码随后直接在该页面上执行原地加密操作，从而永久篡改 /usr/bin/su 或 /etc/passwd 等文件的缓存副本。

与竞争条件类漏洞不同，Dirty Frag 是一个确定性逻辑漏洞，无需把握任何时间窗口，成功率极高。目前，一个能够 "通过单条命令" 获取 root 权限的可用概念验证代码已发布至 GitHub。Red Hat 已分配 CVE-2026-43284 对该问题进行追踪，据估计此漏洞影响范围涵盖约九年的内核版本。

禁令遭破坏，漏洞信息被迫提前披露

Kim 于 4 月 30 日将 ESP 漏洞报告至 security@kernel.org，并于 5 月 7 日将漏洞详情提交至 linux-distros 邮件列表，设定的禁令截止日期为 5 月 12 日，为期五天。然而，就在数小时之内，一名无关的第三方通过独立逆向工程分析了已公开的 netdev 修复提交，并发布了漏洞利用细节，在任何发行版来得及发布补丁之前便打破了禁令。Kim 在与各发行版维护者协商后，公开发布了完整的 Dirty Frag 说明文档及漏洞利用代码。

该第三方在一个名为 "Copy Fail 2: Electric Boogaloo" 的代码仓库中发文，声称其工作属于基于公开上游提交的标准 "N-day 武器化" 操作，并非来自协同披露流程中的信息泄露。openwall

无补丁情况下的缓解措施

由于 Ubuntu、Red Hat、Fedora、AlmaLinux、openSUSE 和 CentOS Stream 均尚未发布内核补丁，管理员被建议将三个存在漏洞的内核模块——esp4、esp6 和 rxrpc——加入黑名单，作为临时缓解措施。Red Hat 警告称，此变通方案将导致依赖内核数据路径的 IPsec 隧道无法正常工作，并敦促用户在非生产环境中先行测试。CloudLinux 指出，rxrpc 模块几乎仅供 AFS 客户端使用，在典型的虚拟主机服务器上并不存在。

此漏洞紧随 Copy Fail（CVE-2026-31431）之后披露——后者是同一内核子系统中的一个相关缺陷，仅在一周前才公开。Kim 指出，即便在已应用 Copy Fail 缓解措施（将 algif_aead 加入黑名单）的系统上，Dirty Frag 漏洞仍可被利用。

---

来源：cloudlinux | openwall | LWN | Red Hat | Reddit | Cryptika | Community Enhance