Linux 两周内连爆两个"近年来最严重"漏洞!你的服务器还安全吗?
作者:数据织梦·星期五 | 2026-05-15
如果你只管理 Linux 服务器,这篇文章值得你花 5 分钟看完。
过去两周,Linux 内核连续爆出两个足以让所有系统管理员失眠的漏洞。安全圈的老朋友 Hyunwoo Kim(就是之前搞出 Dirty Pipe 的那位大佬)再次出手,先后挖出了 Copy.Fail 和 DirtyFrag 两个本地提权漏洞。
两个漏洞都能让一个普通用户直接拿到 root 权限。
这意味着什么?意味着你的容器隔离、多租户环境、CI/CD 流水线——所有你以为安全的边界——全都不存在了。
🔴 第一个:Copy.Fail(algif_aead 提权漏洞)
漏洞本质
Copy.Fail 出在 Linux 内核的 algif_aead 模块里。这个模块负责处理加密 API 的用户空间接口。问题出在内存拷贝时的一个边界检查错误——攻击者可以精心构造输入,触发内核内存损坏,最终实现从普通用户到 root 的完整提权。
影响范围
▪所有主流发行版:Ubuntu、Debian、RHEL/CentOS、AlmaLinux、Rocky Linux、Fedora、Arch
▪企业版 Linux 风险更高:因为 algif_aead 在企业版内核中是内置模块(built-in),无法通过卸载模块来缓解
▪容器环境首当其冲:共享内核的 Kubernetes 节点、Docker 主机、WSL2 实例
为什么这次特别危险?
Bruce Schneier 直接评价这是"近年来最严重的 Linux 漏洞"。原因有三:
①"本地"这个词已经不够准确了。2026 年的"本地"意味着:容器里的一个进程、CI/CD 跑的一个 PR、共享主机上的一个租户——攻击者不需要物理接触你的机器。
②补丁泄露导致 Exploit 提前公开。漏洞原本在 embargo 期间被负责任地披露,但有人通过分析补丁 commit,瞬间识别出这和 Copy.Fail 是同一类问题,然后在补丁还没推到各发行版之前,就写出了新的 exploit 代码。
③Hyunwoo Kim 的命中率。这位研究者之前发现的 Dirty Pipe(CVE-2022-0847)影响了数百万台服务器。这次他再次出手,社区不敢掉以轻心。
🟠 第二个:DirtyFrag(碎片内存损坏漏洞)
漏洞本质
DirtyFrag 是 Copy.Fail 的"兄弟漏洞"——同样的漏洞类型,出现在三个不同的内核模块中:
▪esp4 — IPv4 IPsec 封装安全载荷
▪esp6 — IPv6 IPsec 封装安全载荷
▪rxrpc — 远程过程调用协议
CVE 编号待定(AlmaLinux 已确认预留了 CVE-2026-43500 系列编号)。
影响范围
和 Copy.Fail 类似,但有一个关键区别:
企业版 Linux 通常不内置这三个模块,所以所有发行版都可以通过卸载模块来紧急缓解,不需要重启。
但代价是:IPsec VPN(如 StrongSwan)和 AFS 分布式文件系统会失效。
🛡️ 紧急缓解措施
Copy.Fail 缓解(需要重启)
# RHEL/CentOS/Alma/Rocky 系统 grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init" reboot # 验证是否生效cat /proc/cmdline | grep initcall_blacklist
DirtyFrag 缓解(无需重启)
# 1. 卸载受影响模块(会中断 IPsec VPN) rmmod esp4 esp6 rxrpc # 2. 禁止模块自动加载 sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf"# 3. 验证模块已卸载 lsmod | grep -E "esp4|esp6|rxrpc"# 应该没有输出
根本解决方案:升级内核
# Ubuntu/Debiansudo apt update && sudo apt upgrade linux-image-generic sudo reboot # RHEL/CentOS/Alma/Rockysudo dnf update kernel sudo reboot # 验证内核版本uname -r
AlmaLinux 已经发布了补丁,其他发行版的补丁也在紧急推送中。建议密切关注你所用发行版的安全公告。
🔍 如何检查你的服务器是否受影响
一键检查脚本
#!/bin/bashecho"=== Linux 内核安全检查 ==="echo""# 1. 检查内核版本 KERNEL=$(uname -r) echo"[*] 当前内核: $KERNEL"# 2. 检查 algif_aead 模块状态if lsmod | grep -q algif_aead; thenecho"[!] algif_aead 模块已加载 — 可能受 Copy.Fail 影响"elseecho"[+] algif_aead 模块未加载"fi# 3. 检查内核启动参数ifcat /proc/cmdline | grep -q "initcall_blacklist=algif_aead_init"; thenecho"[+] Copy.Fail 缓解已生效"elseecho"[!] Copy.Fail 缓解未生效 — 建议执行 grubby 命令"fi# 4. 检查 DirtyFrag 相关模块for mod in esp4 esp6 rxrpc; doif lsmod | grep -q $mod; thenecho"[!] $mod 模块已加载 — 可能受 DirtyFrag 影响"fidone# 5. 检查 modprobe 配置if [ -f /etc/modprobe.d/dirtyfrag.conf ]; thenecho"[+] DirtyFrag 缓解配置已存在"elseecho"[!] DirtyFrag 缓解未配置"fiecho""echo"=== 检查完成 ==="
保存为 check-kernel-security.sh,执行 bash check-kernel-security.sh。
💡 几个关键建议
1. 不要等,立即行动
这两个漏洞的 exploit 代码已经在流传。攻击者不需要零日——公开的 PoC 就足够用了。如果你的服务器暴露在内网或云上,风险是真实存在的。
2. 容器环境优先处理
Kubernetes 集群、Docker 主机、WSL2 实例——这些环境的"本地"概念已经被模糊化了。一个容器内的低权限进程,通过这两个漏洞可以逃逸到宿主机 root。
3. 关注你的发行版安全公告
▪AlmaLinux: 已发布补丁
▪Ubuntu: 关注 USN 公告
▪RHEL: 关注 RHSA 公告
▪Debian: 关注 DSA 公告
4. 建立内核更新自动化
# Ubuntu 自动安全更新sudo apt install unattended-upgrades sudo dpkg-reconfigure -plow unattended-upgrades # RHEL/CentOS 自动更新sudo dnf install dnf-automatic sudo systemctl enable --now dnf-automatic.timer
5. 考虑纵深防御
即使打了补丁,也应该部署额外的安全措施:
▪SELinux/AppArmor:限制进程能力
▪seccomp:限制容器内的系统调用
▪Pod Security Admission:K8s 层面禁止特权容器
▪审计规则:监控可疑的提权行为
# 添加内核安全审计规则 auditctl -a always,exit -F arch=x86_64 -S execve -k kernel_exploit ausearch -k kernel_exploit
📌 总结
两周内,两个内核级提权漏洞。一个影响所有内置 algif_aead 的企业系统,一个通过 IPsec 模块影响更广。这不是巧合——Linux 内核的代码复杂度正在成为安全风险的放大器。
你的行动清单:
安全不是产品,是一个过程。 今天打补丁,明天继续监控。
参考资料:
▪Bruce Schneier 博客 — Copy.Fail 分析
▪Slashdot — DirtyFrag 社区讨论
▪AlmaLinux 安全公告
▪BleepingComputer — 漏洞跟踪报道
觉得有用?转发给你的运维同事,也许能救一台服务器。
数据织梦 · 让安全触手可及
聚焦安全研究、漏洞分析、攻防技术与行业观察 持续输出高质量安全内容 微信生态内建议同时插入官方“公众号名片”组件,提升关注转化 COMMUNITY · SECURITY GROUP 想继续交流漏洞分析、攻防实践和文章里的细节补充,欢迎扫码进群。
群内会不定期分享复现思路、工具经验和最新讨论。
扫码即可加入交流,二维码失效可在后台回复「加群」。
实战问题、漏洞思路、工具踩坑都可以在群里继续聊 也欢迎直接反馈你想看的后续选题