免责声明:本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书面授权,严禁将公众号内的任何内容用于未经授权的渗透测试、漏洞利用或攻击行为。 所有人仅可在自己合法拥有或管理的系统环境中进行本地漏洞复现与安全测试,或用于具有明确授权的合法渗透测试项目。所有人不得以任何形式利用公众号内提供的内容从事非法、侵权或其他不当活动。 如因违反上述规定或不当使用本公众号提供的任何内容,造成的一切法律责任、经济损失、纠纷及其他任何形式的不利后果,均由相关成员自行承担,与本公众号无任何关联。
不错过最新的漏洞POC
为保证您可以在第一时间接收到本公众号分享的漏洞复现及POC信息,建议您在公众号“天翁安全”主页界面将“天翁安全”设为星标。
漏洞介绍
2026年5月7日,安全研究员 Hyunwoo Kim(@v4bel)公开披露了一类名为 Dirty Frag 的本地权限提升(Local Privilege Escalation,LPE)漏洞。该漏洞影响自2017年以来的大多数主流 Linux 发行版,受影响时间跨度约9年。Dirty Frag 通过链式利用 Linux 内核中的 xfrm-ESP Page-Cache Write 漏洞与 RxRPC Page-Cache Write 漏洞,使本地低权限用户能够稳定、确定性地获得 root 权限。该漏洞属于对 Dirty Pipe 与 Copy Fail 同类漏洞机制的进一步扩展,其核心问题源于 Linux 内核在 page cache、零拷贝(zero-copy)以及 page fragment 管理过程中的逻辑缺陷。由于该漏洞不依赖竞争条件(race condition)或时间窗口,利用失败时不会导致内核 panic,因而具有极高的利用稳定性与成功率。
漏洞条件
几乎覆盖当前所有主流企业级和桌面 Linux 发行版。
| |
|---|
| xfrm-ESP Page-Cache Write | commit cac2661c53f3 (2017-01-17) -- 最新commit |
| commit 2dc334f1a63a (2023-06) -- 最新commit |
目前已知存在漏洞的发行版版本如下:
| 序号 | 漏洞版本 |
|---|
| 1 | Ubuntu 24.04.4: 6.17.0-23-generic |
| 2 | RHEL 10.1: 6.12.0-124.49.1.el10_1.x86_64 |
| 3 | openSUSE Tumbleweed: 7.0.2-1-default |
| 4 | CentOS Stream 10: 6.12.0-224.el10.x86_64 |
| 5 | AlmaLinux 10: 6.12.0-124.52.3.el10_1.x86_64 |
| 6 | Fedora 44: 6.19.14-300.fc44.x86_64 |
漏洞复现
漏洞复现非常简单,首先编译一下 exp-dirty-frag.c
然后直接低权限用户登录Linux,执行一下exp脚本即可获取到root权限
POC下载地址:https://github.com/V4bel/dirtyfrag/
大家可自行下载进行本地复现研究,也可直接在“文末知识星球”内领取
漏洞时间线
- 2026-04-30:向
security@kernel.org 提交了关于 ESP 漏洞的详细信息,以及一个可在多个主流发行版上获取 root 权限的武器化利用程序。 - 2026-04-30:向 netdev 邮件列表提交了 ESP 漏洞的补丁。关于该问题的信息随后被公开披露。
- 2026-04-30(+9 小时):Kuan-Ting Chen 向
security@kernel.org 提交了一份关于 ESP 漏洞的漏洞报告,并附带了复现程序(reproducer)。 - 2026-05-04:Kuan-Ting Chen 向 netdev 邮件列表提交了 shared-frag 方法的补丁。
- 2026-05-07:该补丁被合并进 netdev 树。
- 2026-05-07:向 linux-distros 邮件列表提交了关于该漏洞及其利用程序的详细信息。禁运期(embargo)被设定为 5 天,并约定如果在禁运期间有第三方在互联网上公开发布利用程序,则 Dirty Frag 漏洞利用将被公开披露。
- 2026-05-07:一名无关第三方公开发布了该漏洞的详细信息和利用程序,导致禁运协议失效。
- 2026-05-07:在获得各发行版维护者同意后,Dirty Frag 的完整文档被公开发布。
漏洞修复
目前官方暂未发布补丁,但可参考以下链接进行修复:
xfrm-ESP:https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4
RxRPC:https://lore.kernel.org/all/afKV2zGR6rrelPC7@v4bel/
也可删除存在漏洞的模块:(可能会破坏 IPsec/VPN 等服务,谨慎使用)
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
知识星球
“Dirty Frag Linux 通杀提权漏洞.pdf”、“exp-dirty-frag.zip”现已全部发布至知识星球,大家可在知识星球内获取,自行学习复现。
星球加入方式见文章底部二维码,欢迎加入交流和学习