Linux kernel 存在 Dirty Frag 本地权限提升漏洞。攻击者在获得主机低权限本地执行能力后,可利用页缓存写入问题修改只读文件的 page cache 内容,进而实现本地提权,影响系统完整性与主机安全边界。
当前公开资料显示,相关利用代码已公开,建议相关用户及时开展排查与缓解。
Dirty Frag 通过组合 xfrm-ESP Page-Cache Write 与 RxRPC Page-Cache Write 两类问题,在特定零拷贝发送路径下使攻击者可将只读文件的 page cache 页植入 skb frag,并在内核侧原地处理时导致页缓存内容被修改。
攻击者在获得低权限本地执行能力后,可能利用该问题修改内存中的关键文件缓存并获取 root 权限。
该漏洞本质上属于本地权限提升问题,需重点关注以下场景:
存在普通本地用户登录的 Linux 主机
容器宿主机、CI/CD Runner、共享跳板机
存在 Web 命令执行面或 SSH 落地面的系统
Linux kernel 受影响范围:
xfrm-ESP Page-Cache Write:从上游提交 cac2661c53f3(2017-01-17)起至当前公开上游版本
RxRPC Page-Cache Write:从上游提交 2dc334f1a63a(2023-06)起至当前公开上游版本
Ubuntu 24.04.4:6.17.0-23-generic
RHEL 10.1:6.12.0-124.49.1.el10_1.x86_64
openSUSE Tumbleweed:7.0.2-1-default
CentOS Stream 10:6.12.0-224.el10.x86_64
AlmaLinux 10:6.12.0-124.52.3.el10_1
Fedora 44:6.19.14-300.fc44.x86_64
说明:当前暂无 CVE 编号和统一官方修复版本;以上范围主要来自公开 PoC 和技术分析,实际影响仍需结合发行版安全公告与补丁回移情况确认。
uname -rlsmod | egrep '^(esp4|esp6|rxrpc)'sysctl kernel.unprivileged_userns_clone
在确认业务影响后,可临时禁用相关模块自动加载,并卸载已加载模块:
cat >/etc/modprobe.d/dirtyfrag.conf <<'EOF'install esp4 /bin/falseinstall esp6 /bin/falseinstall rxrpc /bin/falseEOFmodprobe -r esp4 esp6 rxrpc 2>/dev/null || true
若相关功能以内核模块方式提供,可通过禁止模块加载并卸载已加载模块的方式实施临时缓解
若相关功能已直接编译进内核,则上述模块禁用方式不再适用,应优先关注内核升级,或切换至不包含相关功能的内核版本
限制 user namespace 仅能作为部分利用路径的辅助降风险措施,不能替代正式修复,也不能覆盖全部利用路径
建议客户结合自身内核配置,确认 ESP 与 RxRPC 相关功能是以模块形式启用还是直接编译进内核;如为模块形式,可优先采用模块黑名单和卸载方式缓解;如为内建形式,则应优先通过升级修复内核降低风险
先隔离主机并保留必要取证信息
重点核查 /etc/passwd、/usr/bin/su 及其他关键 setuid 文件完整性
再根据应急流程决定是否重启或清理 page cache
说明:
该问题可能影响内存中的 page cache 结果,若直接操作主机,可能影响后续核查结论
当前公开资料显示,上游已出现与该问题相关的修复提交,已确认至少涉及 xfrm-ESP 利用路径。
对于 RxRPC 路径,建议持续跟踪上游内核和各发行版安全公告;在发行版正式发布修复版本前,不建议仅依据单个上游提交判断已完全修复。
建议相关用户持续关注 Ubuntu、Red Hat、SUSE、Fedora、AlmaLinux、CentOS Stream 等发行版公告,并在官方补丁发布后优先升级内核。
本文发布的补丁下载链接均源自各原厂官方网站。尽管我们努力确保官方资源的安全性,但在互联网环境中,文件下载仍存在潜在风险。为保障您的设备安全与数据隐私,敬请您在点击下载前谨慎核实其安全性和可信度。