短短三周,Linux内核接连爆出四个高危漏洞——Copy Fail、Dirty Frag、Fragnesia,以及最新曝光的CVE-2026-46333。几乎每一款主流Linux发行版都“中招”,从Ubuntu、Debian到Fedora、RHEL无一幸免。更令人后背发凉的是,这些漏洞中有潜伏了近九年的“老雷”,每一个都允许本地低权限用户轻松提权至root,甚至窃取SSH私钥。
💣 Copy Fail:一行Python,全员沦陷
4月29日,安全研究团队Theori披露了一个编号为CVE-2026-31431的严重漏洞,名为“Copy Fail”,瞬间引爆了整个Linux安全圈。
这是一个存在于Linux内核加密接口(AF_ALG)中的逻辑错误,自2017年8月就已经被引入主线内核。它的攻击方式极其恐怖:不需要任何竞态条件,不用碰运气,攻击者只需运行一段732字节的Python脚本,就能向任意可读文件的页缓存中写入受控数据,篡改系统关键程序(如/usr/bin/su)在内存中的执行指令,从而稳定获取root权限。
更可怕的是,页缓存是系统级共享的,且篡改仅发生在内存中,磁盘上的原始文件纹丝不动。这意味着传统的文件完整性检查工具(如Tripwire)根本发现不了任何异常。Copy Fail被归为与2022年著名的Dirty Pipe同属一类的页缓存写入漏洞,但在稳定性和影响面上毫不逊色。
🧩 Dirty Frag:链条攻击,几乎无死角
就在Copy Fail公开仅一周后,5月7日,韩国安全研究员Hyunwoo Kim又公布了一个“王炸”级别的漏洞链——Dirty Frag。
Dirty Frag并非单一漏洞,而是通过串联xfrm-ESP(2017年引入)和RxRPC(2023年引入)两个独立内核模块的逻辑缺陷,合力完成提权攻击。它同样利用了splice等零拷贝路径污染页缓存,但它最致命的一点是:即便你给系统打好了Copy Fail补丁,Dirty Frag依然能一击致命,因为两者命中的是完全不同的内核子系统。
该漏洞影响内核版本范围极广,波及Ubuntu 24.04.4、RHEL 10.1、CentOS Stream 10、AlmaLinux 10、Fedora 44等几乎所有主流发行版。更糟糕的是,它在被披露时主线内核尚无任何补丁,导致当时唯一的缓解方案就是手动禁用esp4、esp6、rxrpc这三个内核模块。
💀 Fragnesia:“补丁漏洞”引发的新危机
5月13日,Linux内核迎来了三周内的第三次重击——Fragnesia。
这是一个极具讽刺意味的漏洞:它并非源于某个古老的代码段,而是修复Dirty Frag时引入的补丁衍生漏洞。 漏洞根源在于Linux内核XFRM ESP-in-TCP子系统的逻辑缺陷:skb在合并共享页碎片时,未能正确传播共享分片标记,导致ESP路径在页缓存上进行原地解密,最终实现了对只读文件的任意字节写入。
Fragnesia具有极高的稳定性和隐蔽性。攻击者无需任何竞争条件,只需运行简短脚本就能精准篡改/usr/bin/su文件在内存中的指令;由于篡改只存在于内存中,磁盘原始文件完好无损,传统的安全扫描工具根本无法实时发现。安全团队在Ubuntu 22.04、24.04上已成功验证了该漏洞。
🔐 CVE-2026-46333:潜伏近九年的“幽灵”
如果你以为上面三个就够严重了,那接下来这个可能让你彻夜难眠。
5月20日,就在Fragnesia曝光后不久,知名安全公司Qualys披露了第四个高危漏洞——CVE-2026-46333。
这个漏洞的源头可追溯到2016年11月,已在Linux主线内核中潜伏了近九年。它位于内核的__ptrace_may_access()函数中。漏洞原理并不复杂:当高权限进程(如ssh-keysign、chage)退出时,内存描述符会先于文件描述符表被释放,内核在这个极短的时间窗口内跳过了安全检查;攻击者利用pidfd_getfd()系统调用窃取目标进程仍处于打开状态的文件描述符,从而绕过权限直接读取本该只有root才能访问的文件。
Qualys团队在Debian 13、Ubuntu 24.04、Ubuntu 26.04、Fedora 43、Fedora 44的默认安装环境中验证了攻击路径,制作了针对chage、ssh-keysign、pkexec、accounts-daemon四个可运行利用程序,能够实现root命令执行或窃取SSH主机私钥。/etc/shadow中的密码散列值一旦被窃取,离线暴力破解的风险将直接摆在攻击者面前。
🛠️ 各大发行版的修复进展与应急方案
目前,各大主流发行版已紧急跟进安全更新:
Ubuntu:通过USN-8267-1、USN-8254-3等安全公告推送内核更新补丁;
Debian:5月16日发布了13.5点版本,汇总了约100个安全公告,涵盖Linux内核及数十个用户空间软件包;
Fedora:已为Fedora 42、43、44推送内核7.0.8等稳定版本,修复CVE-2026-46333以及Fragnesia的额外攻击路径;
Red Hat / SUSE / AlmaLinux / CloudLinux等:上游补丁已经回传,建议及时更新至最新内核版本。
👉 如果你的服务器近期无法重启,请至少执行以下紧急操作:
禁用易受攻击的内核模块(针对Dirty Frag/Fragnesia):
sh-c"printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' >/etc/modprobe.d/dirtyfrag.conf"rmmod esp4 esp6 rxrpc2>/dev/null
注意:禁用上述模块会影响IPsec VPN和AFS分布式文件系统,请在操作前评估业务影响。
限制ptrace访问(针对CVE-2026-46333):
echo2>/proc/sys/kernel/yama/ptrace_scope
>将此命令添加至/etc/sysctl.conf以实现持久化生效。
⚡ 写在最后
三周四个高危漏洞,这在Linux内核安全史上也极为罕见。从2016年潜伏至今的__ptrace_may_access()逻辑缺陷,到2017年Copy Fail引入的内核加密子系统bug,再到2023年RxRPC模块带来的Dirty Frag与补丁衍生漏洞Fragnesia——每一块代码都在提醒我们:操作系统底层安全从来不是一劳永逸的事。
更新内核、重启服务器,把“可能被偷走的root”关在门外。如果看到“三年未重启”这类高负载机器,请第一时间通知运维团队扫描漏洞并安排停机更新——别等攻击者替你执行那条732字节的Python脚本,你才追悔莫及。