公告编号:SAFETY-SA-202605-001
风险等级:高危 (High)
1. 漏洞背景
近期,Linux 内核安全领域披露了多项高危漏洞,主要涉及网络协议栈及内核权限管理逻辑。思福迪安全团队已完成全线产品的针对性排查,现将相关风险及处置方案公告如下:
•CVE-2026-46300 (Fragnesia):由于内核 ESP-in-TCP 协议处理逻辑错误,可能导致本地非特权用户提权。
•CVE-2026-43284 / CVE-2026-43500:涉及内核内存管理溢出,可能导致拒绝服务 (DoS) 或远程代码执行。
•CVE-2026-31431:涉及特定文件系统的竞争条件漏洞。
2. 产品线排查结果统计
经技术核查,我司各产品线受上述漏洞影响的情况如下表所示:
漏洞编号 | 漏洞简述 | 堡垒机V7(7.0.18) |
CVE-2026-31431 | 文件系统竞争漏洞 | 不受影响 |
CVE-2026-43284 | 内存管理溢出 | 不受影响 |
CVE-2026-43500 | 内存管理溢出 | 不受影响 |
CVE-2026-46300 | Fragnesia 提权 | 不受影响 |
注:CVE-2026-31431 在思福迪全线产品中均不存在,用户无需针对该漏洞进行处置。
3. 风险分析与修复建议
3.1 临时规避方案 (适用于 CVE-2026-46300/43284/43500)
针对受影响的堡垒机及日志审计系统,在官方补丁包发布前,建议管理员通过以下脚本禁用不必要的内核模块,以阻断攻击路径:
Bash
#!/bin/bash# SAFETY 紧急加固脚本 - 针对 CVE-2026-46300 等echo "正在执行内核模块加固..."# 1. 禁用存在风险的协议模块modules=("esp4" "esp6" "rxrpc")for mod in "${modules[@]}"; doif lsmod | grep -q "^${mod}"; thenmodprobe -r "$mod" 2>/dev/nullfidone# 2. 持久化黑名单配置cat <<EOF > /etc/modprobe.d/safety_security_fix.confinstall esp4 /bin/falseinstall esp6 /bin/falseinstall rxrpc /bin/falseEOF# 3. 清理页缓存echo 3 > /proc/sys/vm/drop_cachesecho "加固完成。请在实验室环境下验证业务连续性。"
3.2 深度修复建议
目前,思福迪研发部门已与各上游操作系统厂商(包括麒麟 Kylin、龙蜥 Anolis 及其他国产 OS 社区)建立紧密联动机制:
1.补丁获取状态:研发部门正处于“同步等待补丁-即时兼容性验证”阶段。由于本轮漏洞涉及 Linux 内核网络栈及内存管理的核心逻辑,上游厂商正在加紧产出稳定版内核补丁。
2.适配验证计划:
•我司将在上游补丁发布的 24 小时内启动针对 LogBase SOM V8 和日志审计 1.3 的适配性测试。
•重点验证补丁应用后对现有国密(SM2/3/4)加解密性能、协议 proxy 稳定性的影响。
3.后续发布:请广大客户持续关注思福迪官方服务号及售后支持群。一旦补丁通过安全实验室的回归测试,我们将第一时间发布升级包及操作指引。
4. 联系我们
如果您在执行上述排查或加固过程中遇到任何问题(如系统挂死、协议代理中断),请联系思福迪技术支持热线(400-678-1500)。
思福迪 (SAFETY) 安全应急响应中心
2026年5月15日