就在近期,Linux 内核爆出毁灭性高危本地提权漏洞 —— Dirty Frag,彻底击穿了无数服务器、工作站、容器集群的安全防线!
不同于以往概率性触发的漏洞,这是一个确定性通杀漏洞,无复杂触发条件、无需高权限铺垫、无需竞争等待,普通本地用户一条命令即可直接拿到最高 root 权限。
更致命的是:该漏洞潜伏 Linux 内核长达 9 年,覆盖几乎所有主流发行版,全网大量服务器处于裸奔高危状态!
⚠️ 运维、开发者、服务器使用者,务必立刻自查、紧急防护!
一、漏洞核心信息
| |
|---|
| Dirty Frag(Dirty Fragment) |
| CVE-2026-43284 (IPsec ESP)CVE-2026-43500 (RxRPC) |
| |
| Linux 4.11/4.13 及以上所有版本(2017年起) |
| |
| |
| |
二、为什么比 Dirty Cow 更危险?
熟悉 Linux 安全的朋友,一定听过当年轰动全网的 Dirty Cow(脏牛)漏洞,而这次的 Dirty Frag,堪称脏牛漏洞的全面升级版,危害、门槛、成功率全面碾压旧漏洞。
核心致命特性:
1. 零门槛触发无需编译复杂代码、无需多次重试、无概率失败问题,本地低权限用户一键即可提权 root,操作简单到新手也能完成攻击。
2. 确定性攻击,100% 成功率传统 Linux 提权漏洞多依赖竞争条件,大概率触发失败,而 Dirty Frag 是内核逻辑设计缺陷,属于确定性漏洞,只要系统受影响,攻击必然成功。
3. 绕过主流防护机制可直接绕过此前 Copyfail 漏洞的黑名单防护方案,同时突破部分系统 AppArmor 基础权限限制,常规安全配置完全形同虚设。
4. 无文件权限限制攻击者无需目标文件写入权限,利用内核零拷贝页缓存优化缺陷,直接篡改内存中只读页缓存数据,篡改系统核心权限配置,实现权限飞升。
三、影响范围:9 年内核全覆盖
这不是小众版本漏洞,是覆盖全网绝大多数 Linux 设备的通杀级漏洞!
1. 受影响内核版本
漏洞源头可追溯至 2017 年发布的 Linux 4.11/4.13 内核,4.11/4.13 及以上所有内核版本全部受影响,整整潜伏 9 年,从未被发现。
2. 全覆盖主流发行版
Ubuntu、CentOS、Debian、Fedora、麒麟系统、Rocky Linux 等所有主流 Linux 发行版全部中招,包括最新稳定版 Ubuntu 24.04、CentOS Stream 9 等。
3. 波及海量业务场景
该漏洞影响范围不止普通服务器,云服务器、企业集群、AI 算力节点、Docker/K8s 容器、嵌入式 Linux 设备全部沦陷。
⚠️ 特别提示:容器环境风险极高!很多容器默认低权限运行,攻击者可借助该漏洞突破容器隔离,直接宿主机提权,批量接管整台服务器所有容器业务。
四、技术原理:漏洞到底怎么攻破系统?
不用晦涩代码,用通俗逻辑讲透漏洞原理:
Linux 内核为了提升传输效率,设计了零拷贝机制:传输文件数据时,不复制新数据,直接挂载内存中「只读页缓存」的数据区块,节省服务器性能。
内核默认判定:页缓存只读、绝对不可篡改,这是 Linux 权限隔离的核心逻辑之一。
而 Dirty Frag 漏洞精准击穿了这个核心逻辑:
攻击者利用 IPsec-ESP、RxRPC 两大网络组件的逻辑缺陷,通过特殊数据包注入,强制篡改本应只读的页缓存数据。
简单来说:
攻击者可以凭空修改系统核心权限配置文件的内存副本(如 /etc/passwd 或 su 二进制文件),系统读取被篡改的配置后,直接失效权限校验,主动把最高 root 权限拱手让出。
整个攻击过程无痕迹、无报错、无复杂操作,一键直达最高权限,隐蔽性和危害性拉满。
五、紧急自救!最全临时防护方案
因业务原因无法升级官方补丁升级版本的,可以立刻执行以下防护操作,最大程度规避入侵风险:
方案 1:禁用漏洞核心组件(最有效、零风险)
漏洞依赖 ESP(IPsec) 和 RxRPC 两大内核模块,临时禁用即可阻断漏洞触发路径,不影响绝大多数常规业务。
⚠️ 注意:禁用 esp4/esp6 会中断 IPsec VPN;禁用 rxrpc 会影响 AFS 文件系统。请评估业务依赖。
执行以下命令禁用模块:
## 创建禁用配置文件
echo "install esp4 /bin/false" >> /etc/modprobe.d/disable-dirtyfrag.conf
echo "install esp6 /bin/false" >> /etc/modprobe.d/disable-dirtyfrag.conf
echo "install rxrpc /bin/false" >> /etc/modprobe.d/disable-dirtyfrag.conf
## 卸载已加载的模块
sudo rmmod esp4 esp6 rxrpc
## 更新内核模块配置
update-initramfs -u
## 重启服务器生效
reboot
方案 2:严格限制本地用户权限
该漏洞必须本地交互权限才可触发,杜绝普通用户多余权限,大幅降低攻击可能性:
- 容器环境严格限制 capabilities 权限,关闭多余内核调用权限。
方案 3:限制用户命名空间(针对 ESP 变体)
⚠️ 注意:这会影响 Docker 等容器运行,仅建议非容器环境使用。
## 限制用户命名空间
echo 'kernel.unprivileged_userns_clone=0' >> /etc/sysctl.conf
sysctl -p
方案 4:开启服务器安全审计
- 实时监控服务器新增 root 账号、权限变更记录;
- 禁止外网直接开放服务器 SSH、终端端口,配置 IP 白名单。
方案 5:终极方案 —— 升级内核
尽快通过以下命令升级内核,并重启服务器:
## Ubuntu/Debian 系统
apt update && apt upgrade linux-image-*
## CentOS/RHEL 系统
yum update kernel
## 重启服务器
reboot
六、检测与验证
1. 检查模块状态
执行以下命令,若输出为空则模块已卸载:
lsmod | grep -E 'esp4|esp6|rxrpc'
2. 检测漏洞
可使用 Qualys 等安全扫描器(QID 387289)检测系统是否存在该漏洞。
七、重点提醒:这些场景优先紧急加固
1. 公网云服务器暴露公网、极易被批量扫描攻击,优先级最高;
2. AI 算力服务器、GPU 集群多用户共享、本地交互频繁,极易被横向提权;
3. Docker/K8s 容器集群容器隔离可被突破,存在批量沦陷风险;
4. 企业内网核心服务器一旦被入侵,内网数据、业务全部泄露失控。
八、总结
Dirty Frag 绝对是 2026 年最危险的 Linux 内核漏洞:
✅ 9 年全网通杀,覆盖 99% 在用 Linux 系统
✅ 无门槛、确定性提权,一键 ROOT
✅ PoC 公开,黑产批量利用