Linux内核高危漏洞“Dirty Frag”技术报告

背景‌
“Dirty Frag”是2026年4月底被披露的Linux内核本地权限提升（LPE）漏洞链，由两个互补的页缓存写入缺陷组成：

CVE-2026-43284‌：xfrm-ESP模块中的Page-Cache Write漏洞（自内核提交 cac2661c53f3，2017年引入）
CVE-2026-43500‌：RxRPC模块中的Page-Cache Write漏洞（自内核提交 2dc334f1a63a，2023年6月引入）
该漏洞允许本地普通用户通过操控零拷贝路径（如 splice()）污染内核页缓存，进而篡改setuid程序的可执行内容，实现无密码、无竞态条件的‌稳定提权至root‌。其危害性超越此前的Dirty Pipe与Copy Fail漏洞，属典型0day级威胁。

影响范围‌
以下主流Linux发行版均受直接影响（内核版本 ≥ 4.19）：

表格
发行版 内核版本示例 是否受影响
Ubuntu 24.04.4 6.17.0-23-generic ✅ 是
RHEL 10.1 6.12.0-124.49.1.el10_1.x86_64 ✅ 是
CentOS Stream 10 6.12.0-224.el10.x86_64 ✅ 是
AlmaLinux 10 6.12.0-124.52.3.el10_1.x86_64 ✅ 是
Fedora 44 6.19.14-300.fc44.x86_64 ✅ 是
openSUSE Tumbleweed 7.0.2-1-default ✅ 是
Microsoft WSL2 基于Linux 6.x系列 ✅ 是
注：内核版本 < 4.19 的系统不受影响。可通过 uname -a 检查当前版本。

技术原理‌
漏洞利用链依赖两个原语协同工作：

xfrm-ESP漏洞‌：esp_input() 函数跳过 skb_cow_data() 内存拷贝，直接在 splice() 注入的 frag 页面上执行原地AEAD解密，实现任意页缓存写入。
RxRPC漏洞‌：在AppArmor等防护机制屏蔽xfrm-ESP路径时，自动触发RxRPC路径完成提权，形成“无防护盲区”覆盖。
攻击者无需复杂时序控制，单次尝试即可成功，且不会触发内核崩溃（kernel panic），稳定性极高。

检测方法‌
执行以下命令判断系统是否暴露风险：

bash
# 检查内核版本
uname -a

# 检查ESP模块是否启用
grep -wE 'CONFIG_INET_ESP|CONFIG_INET6_ESP' /boot/config-$(uname -r)
判断结果‌：

CONFIG_INET_ESP=y 或 CONFIG_INET6_ESP=y → ‌内建模块，高风险‌
CONFIG_INET_ESP=m 或 CONFIG_INET6_ESP=m → ‌模块加载，高风险‌
无输出或显示 # CONFIG_INET_ESP is not set → ‌未启用，安全‌
麒麟信安与统信均推荐此检测流程。

缓解方案（临时）‌
在官方补丁发布前，可通过禁用相关内核模块实现临时防护：

bash
# 创建配置文件
sudo sh -c 'printf "install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n" > /etc/modprobe.d/dirtyfrag.conf'

# 卸载模块
sudo rmmod esp4 esp6 rxrpc 2>/dev/null

# 验证是否卸载成功
lsmod | grep -E "(esp|rxrpc)"
此操作将禁用IPSec相关功能，适用于‌不依赖VPN或IPSec网络服务‌的服务器与桌面环境。企业用户应评估业务影响。

修复方案（官方）‌
截至2026年5月，主流厂商已发布修复内核包，建议立即升级：

厂商 修复路径
统信UOS‌ sudo apt update && sudo apt install linux-image-4.19.0-server-amd64（服务器）
控制中心 → 更新 → 安全更新 → 安装重启
麒麟信安‌ 访问 安全公告页面 下载补丁
华为‌ 查阅 安全通告（仅CVE-2026-43284受影响）
Ubuntu/RHEL/Fedora‌ 等待上游内核发布补丁后，通过 apt upgrade 或 yum update 升级
重要‌：内核升级必须重启系统，操作前请备份并测试回滚方案。

当前存在的问题‌
无官方主线补丁‌：Linux主线内核（mainline）尚未合并修复代码，依赖各发行版自行打补丁。
利用代码公开‌：PoC已在GitHub等平台流传，攻击门槛极低。
WSL2受影响‌：Windows用户若使用Linux子系统，同样面临提权风险。
检测复杂‌：部分嵌入式或定制系统难以快速识别模块启用状态。