2026年5月8日,安全研究员 Hyunwoo Kim 在 oss-security 邮件列表公开披露了一个名为 Dirtyfrag 的 Linux 内核通用本地提权漏洞(LPE),影响所有主流 Linux 发行版。这距离上一个引起广泛关注的 Copy Fail 漏洞披露仅过去数天。
漏洞概述
Dirtyfrag 允许攻击者在任何主流 Linux 发行版上从普通用户提升到 root 权限,其影响与此前的 Copy Fail 漏洞类似。该漏洞利用了两个独立的内核缺陷进行链式攻击:
- 第一个漏洞位于网络子系统(net.git)
- 第二个漏洞涉及 ESP/IPsec 相关协议处理
由于负责任披露的时间表和禁令(embargo)已被打破,目前没有任何发行版提供官方补丁。
临时缓解措施
在官方补丁发布之前,安全研究员建议立即禁用存在漏洞的内核模块。在服务器上执行以下命令:
sh -c "printf 'install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"这条命令做了三件事:
- 创建
/etc/modprobe.d/dirtyfrag.conf配置文件,阻止esp4、esp6、rxrpc三个内核模块加载 - 立即卸载已加载的模块
- 确保即使模块未加载也不报错
对站长的影响
如果你的服务器运行任何 Linux 发行版(Ubuntu、Debian、CentOS、AlmaLinux 等),且允许非特权用户登录(例如 SSH 共享主机、CI/CD 构建环境、容器宿主机),那么你的服务器面临直接风险。
建议所有站长:
- 立即执行上述缓解命令,禁用存在漏洞的内核模块
- 限制非必要的用户登录,减少攻击面
- 关注各发行版安全公告,补丁发布后第一时间更新
- 审查系统日志,检查是否有可疑的提权行为
与 Copy Fail 的关系
Dirtyfrag 和 Copy Fail 是两个独立但影响相似的漏洞。Xe Iaso 在其博客中警告,在这两个漏洞同时曝光的窗口期,供应链攻击(特别是通过 NPM)的风险急剧升高。她建议在补丁完善之前,暂时不要安装新的软件包。
技术细节
完整的漏洞利用代码和详细技术分析已公开在 dirtyfrag.io。漏洞利用涉及 Linux 内核的 IPsec 处理和 socket 操作,通过精心构造的系统调用序列触发内核内存损坏。
这是 2026 年以来影响最严重的 Linux 内核安全事件之一。建议所有站长保持警惕,及时跟进安全更新。
来源:oss-security 邮件列表 – Dirty Frag 报告、dirtyfrag.io 技术详情、Xe Iaso – Maybe you shouldn’t install new software for a bit
暂无评论内容